HTML5Web Storage攻击安全风险详解.docxVIP

HTML5Web Storage攻击平安风险详解 HTML5Web Storage攻击平安风险详解 HTML5支持WebStorage,开发者可以为应用创建本 地存储，存储一些有用的信息。例如Localstorage可 以长期存储，而且存放空间很大，一般是5M,极大 的解决了之前只能用Cookie来存储数据的容量小、存 取不便、简单被清除的问题。这个功能为客户端供应 了极大的敏捷性。下面跟一起来了解一下吧! 一、WebStorage 简介 HTML5支持WebStorage,开发者可以为应用创 建本地存储，存储一些有用的信息。例如Localstorage 可以长期存储，而且存放空间很大，一般是5M,极 大的解决了之前只能用Cookie来存储数据的容量小、 存取不便、简单被清除的问题。这个功能为客户端供 应了极大的敏捷性。 :、攻击方式 Localstorage的API都是通过Javascript供应的?, 这样攻击者可以通过XSS攻击窃取信息，例如用户 token或者资料。攻击者可以用下面的脚本遍历本地 存储。 同时要提一句，Localstorage并不是唯一暴露本 地信息的方式。我们现在许多开发者有一个不好的习 惯，为了便利，把许多关键信息放在全局变量里，例 如用户名、密码、邮箱等等。数据不放在合适的作用 域里会带来严峻的平安问题，例如我们可以用下面的 脚本遍历全局变量来获得信息o 三、攻击工具 HTML5dump 的定义是“JavaScriptthat dump all HTML5 local storage”,它也能输出 HTML5 Sessionstorage、全局变量、Localstorage 和本地数据 库存储。 U!防备之道 U! 防备之道 对于WebStorage攻击的防备措施是： 1、数据放在合适的作用域里 例如用户sessionlD就不要用Localstorage存储， 而须要放在sessionstorage里。而用户数据不要储存 在全局变量里，而应当放在临时变量或者局部变量里。 2、不要存储敏感的信息 因为我们总也无法知道页面上是否会存在一些 平安性的问题，肯定不要将重要的数据存储在 WebStorage 里。