现代浏览器安全.ppt

现代浏览器新安全研究 天融信 阿尔法实验室 徐少培 地址栏攻击 存储攻击 页面攻击 状态栏攻击 插件攻击 特性 2012/7/4 隐私攻击 跨域攻击 标签攻击 谁 首席安全研究员@天融信阿尔法实验室 Web安全研究 HTML5安全研究 浏览器安全研究 xisigr@XEYE Team Web Hacking 讲 URL地址栏欺骗攻击 URL状态栏欺骗攻击 页面标签欺骗攻击 页面解析欺骗攻击 扩展插件攻击 本地存储攻击 绕过安全策略 隐私安全 特性差异 浏览器市场占有率 一 URL地址栏欺骗 去哪，两个步骤 鼠标移动到URL上--状态栏显示URL 鼠标点击/拖放URL—加载地址栏及页面 URL地址栏欺骗 点击URL欺骗 浏览器通性 Onclick()，Onmouseup()，Onmousedown() 浏览器差异 HTML5 pushState()，20%，long 20%，空格，？ 浏览器自身特性…… 拖放URL欺骗 Chrome，Firefox，IE，Safari ondragstart event.dataTransfer.setData(url type,url) DEMO 二 URL状态栏欺骗 新老状态栏对比 老的Chrome,FF,IE 新的Chrome,FF,IE URL状态栏欺骗 CSS样式处理状态栏欺骗 Chrome,IE,Firefox改变状态栏处理方式 链