• / 19
  • 下载费用:5 金币  

28基于HTML5的攻击.pptx

关 键 词:
28 基于 HTML5 攻击
资源描述:
,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,信息网络安全攻防实验,HTML5攻击演示,Sql注入与iframe劫持,PRESENTED BY 刘爽2015140948 高天通2015140318 邹建列2015140966,,,目录CONTENT,PART ONE HTML5简介,01,PART TWO sql注入实验,02,PART THREE iframe劫持实验,03,PART FOUR 展望,04,,PART ONE HTML5简介,什么是HTML5?HTML5优势HTML5安全问题,1,HTML5简介,HTML5简介,,01,,,在2010年夏天,Kuppan和另一位安全研究人员公布了滥用HTML5离线应用程序缓存的方法,各大浏览器测试版都已经部署了这个功能,并且都很容易被这种方法攻击。,,02,,,HTML5分为表现层、逻辑层、网络层、核心层面,表现层面有可能遇到的API攻击和新标签的攻击,插件会引入CORJacking,第三层会有Web Worker攻击Web Storage攻击,第四层有ClickJacking、CookieJacking。,,03,,,Johnson指出谷歌的Gmail在HTML5之前,攻击者可能必须窃取计算机的cookies,然后进行解码以获取在线电子邮箱服务的密码。现在,攻击者只需要获取用户浏览器的信息就能攻击,因为浏览器中,存储了收件的副本。,,04,,,对于本地存储,攻击者可以从你的浏览器读写数据。对于地理位置,攻击者可以在你不知情的情况下确定你的位置。对于新CSS,攻击者可以控制你能看见的CSS增强网页要素。HTML5的WebSocket可被滥用来秘密的后门通信。,“HTML5为网络世界带来了很多功能和能量,黑客们现在可以更多地对HTML5和JavaScript发动恶意攻击,甚至比以往任何时候都要容易,”安全研究人员Lavakumar Kuppan表示。 Johnson表示,对于HTML5,很多新功能都会对其自身的安全构成威胁,因为这些新功能增加了攻击者利用用户的浏览器发动某种形式的攻击的几率。“多年以来,安全问题都集中在漏洞缓冲区溢出和SQL注入攻击上,我们必须修复这些漏洞,并且监控这些漏洞,”Johnson表示。但是对于HTML5而言,通常是它本身的功能“可以用来攻击我们”。——一些网络安全专家的态度,HTML5简介,HTML5安全问题,,PART TWO Sql注入实验,SQL注入它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。,2,Sql注入实验,,,,方法拓展,使用拓展方法读取数据库表单中数据。,4,Sql注入实验,插入一条可见数据:插入可见数据数据为可以被查询到的状态(后台的visable值为1)插入一条不可见数据:插入不可见数据数据为不能被查询到的状态(后台的visible值为0)查询数据:按数值寻找数据,Sql注入实验,插入一条可见数据,再插入一条不可见数据。两条数据都有数字9。搜索数字9,结果只显示了可见数据。,Sql注入实验,输入后门代码“1%‘ or 1 = 1 or id like ’%1”后,可见数据和不可见数据全部查询到。,Sql注入实验,在chorme浏览器的resources功能里,可以直接读取websql的数据,包含我们设定visible为0的数据。,,PART THREE iframe劫持实验,点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情 的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。,3,Iframe劫持实验,Iframe劫持实验,设置隐藏布局,在原网页上添加iframe,为了便于区分,未将iframe设置为透明,并且错开了一定位置。,演示效果:,实际效果:,Iframe劫持实验,用户点击,当用户想点击查询数据按钮时,实际上点击到了iframe中的元素。为了便于演示,我们在点击按钮后加入了一个提醒。,Iframe劫持实验,跳转,当用户完成单机后,便会跳转到iframe制作者设定好的网页或者出发事件。右图为单击查询数据后我们预先设定好的跳转网页。,,PART FOUR 展望,。,4,“我认为HTML5的安全问题会在三个层面被引入,第一个层面是安全规范的层面,而HTML5是一个发展非常快速的规范,同时社区非常透明,而且响应及时。社区里面有拥有互联网最好的公司,比如说Facebook、谷歌以及微软的支持,所以在规范上会尽快地修复掉这些漏洞。第二个层面是浏览器实现,虽然浏览器不断地更新换代,会不断地解决这些安全性问题或者是漏洞,同时所有浏览器厂商都正在积极面对HTML5安全问题。第三个也就是今天要讲的目的,就是在应用实现层面提醒开发者注意HTML5安全问题,因为HTML5是未来安全发展的趋势,不能因为HTML5有这样的安全问题,就因噎废食,可以预见的是,基于HTML5应用未来会出现一个爆发式增长的趋势。所以现在就要了解这些问题,最后我建议开发者要仔细地去了解所要采用的特性,同时对应用安全性做一个评估。”——蒋宇捷,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,THANK YOU !,PRESENTED BY 刘爽2015140948 高天通2015140318 邹建列2015140966,
展开阅读全文
1
  金牌文库所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
0条评论

还可以输入200字符

暂无评论,赶快抢占沙发吧。

关于本文
本文标题:28基于HTML5的攻击.pptx
链接地址:http://www.gold-doc.com/p-256680.html
关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服客服 - 联系我们
copyright@ 2014-2018 金牌文库网站版权所有
经营许可证编号:浙ICP备15046084号-3
收起
展开