HTML5安全风险详析之六:API攻击
HTML5里有许多协议、模式和API,可能成为攻击者的攻击途径。
一、registerProtocolHandler:信息泄漏
HTML5允许某些协议和schema注册为新的特性。例如下面的语句可以注册一个email handler。
短URL结合历史API的攻击
四、Web Notifications:盗取数据
Web Notifications让我们在浏览器中能够接收推送的消息通知,但是它有可能会被攻击者利用来构造虚假信息,骗取用户数据。
例如下图里右下角的弹窗通知看起来非常正常,需要我们输入Gmail密码来登录查看新邮件。但是一旦输入密码,Gmail邮箱就被盗取了。我们可以仔细看看,弹窗左上角显示的域名是gmai1.com!这正是一个钓鱼网站的欺诈手段。
桌面通知攻击
最后,随着HTML5的发展,未来还可能出现新的HTML5安全问题,还可能还会向着复杂化和智能化去发展。
相关文章:
《关注HTML5安全风险》
《HTML5安全风险详析之一:CORS攻击》
《HTML5安全风险详析之二:WebStorage攻击》
《HTML5安全风险详析之三:WebSQL攻击》
《HTML5安全风险详析之四:Web Worker攻击》
《HTML5安全风险详析之五:劫持攻击》
本文为原创文章,转载请注明:来自蒋宇捷的博客:http://blog.csdn.net/hfahe