ホームページ >ウェブフロントエンド >H5 チュートリアル >インターフェイス操作のハイジャックと HTML5 セキュリティの詳細な図解説明

インターフェイス操作のハイジャックと HTML5 セキュリティの詳細な図解説明

黄舟
黄舟オリジナル
2017-04-24 10:46:072893ブラウズ

1. インターフェース操作のハイジャック

1) クリックジャッキング

クリックジャッキングは視覚的な欺瞞の一種です。

攻撃者は、透明で目に見えない iframe を使用して Web ページ上の特定の場所を覆い、ユーザーに iframe をクリックするように誘導します。

2) TapJacking

現在、モバイルデバイスの使用率はますます高くなっており、その特性に応じてTapJacking(タッチスクリーンハイジャック)が派生しています。

携帯電話の画面範囲は限られており、スペースを節約するために、モバイルブラウザはアドレスバーを非表示にすることができ、携帯電話での視覚的な欺瞞を簡単に実装できます。

1. 最初の画像ではブラウザのアドレス バーが上部に表示されており、攻撃者はページ上に偽のアドレス バーを描画しています。2 番目の画像では、実際のブラウザのアドレス バーが表示されています。自動的に非表示になり、偽のアドレス バーのみがページに残ります

3. 3 番目の写真は、ブラウザのアドレス バーが通常は非表示になっている状況を示しています。

この視覚に焦点を当てた攻撃は、フィッシングや詐欺に悪用される可能性があります。

3) X-Frame-Options 従来のインターフェイスハイジャックの場合は、iframe を無効にして iframe を防止します。

HTTP ヘッダーには応答ヘッダー

X-Frame-Options

があり、次の 3 つの値から選択できます: 1: このページ

は iframe ページをロードできません。 。

2. SAMEORIGIN: このページは同じドメイン名の iframe ページを読み込むことができます。

3. ALLOW-FROM uri: このページは、指定されたソース

から iframe ページをロードできます。

2. HTML5 セキュリティ

HTML5 に追加されたいくつかの新しいタグと 属性は、XSS などの Web 攻撃に新たな変化をもたらしました。これらの変更は、

HTML5 セキュリティ チートシート

にまとめられています。 1) URL の悪意のあるコードを隠す

反映された XSS では、悪意のあるコードが URL パラメータに書き込まれるため、ユーザーは次のリンクのような悪意のあるコードも見ることができます:

http://www.csrf.net/csrf.html?id=<script>111</script>
window.history を通じてブラウザ履歴を操作できます。

pushState() には、stateobject、タイトル、およびオプションの URL アドレスの 3 つのパラメーターがあります。

history.pushState({},"", location.href.split(&#39;?&#39;).shift());
上記のコードを実行すると、パラメーターは非表示になります

新しい URL アドレスは次のとおりです:

「pushState」は、

ブラウザ履歴を偽装

することもできます。

for(i=0; i<10; i++)
    history.pushState({},"", "/"+i+".html");

2) HTML5 でのボットネット

ボットネット (ボットネット) とは、特定の悪意のあるプログラムを多数のコンピューターに埋め込み、コントローラーが複数のコンピューターの指示を通じて悪意のあるプログラムを他のコンピューターに直接送信できるようにすることを指します。サイバー攻撃を行う。 Web フロントエンドに基づく

ボットネットは、

Web Worker テクノロジー

CORS 処理メカニズム

を含む DDOS 攻撃として使用され、Web ワームを介して拡散する可能性があります。 Web Worker は、ブラウザでのユーザーの通常の操作に影響を与えることなく、悪意のある JS コードを非同期的に実行できるマルチスレッド メカニズムです。 CORS 処理メカニズムはブラウザー レベルで機能します。サーバーがクロスサイトを許可しない場合、ブラウザーはサーバーから返された結果をインターセプトします。これは、サーバーがクロスドメイン リクエストに通常どおり応答することを意味します。

那么就可以事先写好一段异步请求的脚本(worker.js),然后通过Web Worker来执行这段脚本,不断的向目标服务器发起请求。

var worker_loc = &#39;worker.js&#39;;//封装了ajax请求的脚本
var target = &#39; 
//可实例化多个
Web Workervar workers = [];for (i = 0; i < 1; i++) {
      workers[i] = new Worker(worker_loc);
      workers[i].postMessage(target);//跨域消息传递}

以上がインターフェイス操作のハイジャックと HTML5 セキュリティの詳細な図解説明の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

声明:
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。