5个html5的安全性问题

【P2H观点】在大家都在强调html5有多好，都在瞩目html5/css3的时候，html5也被曝出了可能存在的几个安全性的问题 ，这事html5本身优秀的标准的背后存在的一系列的并发症问题，但是并不影响html5的标准规范对未来的影响，我们只需要知道并且加以防范就可以了。转载：http://www.p2h.cn/5-html5-security-issues/

下面的内容并没有使用什么特别的顺序，我们要介绍五种可能会利用HTML5的功能进行攻击的方法：

5, 表单篡改：另一个新功能让攻击者可以在被注入JavaScript的网站（例如XSS攻击）中更改该网页上的表单行为。举例来说，攻击者可以改变一个网络商店的正常行为，不是将内容送到购买或是登录页面，而是将用户的身分认证信息发送到攻击者自己的网站。

4, 利用地理定位追踪受害者：地理定位是HTML5新功能中最受注目的一个。因为安全和隐私的考虑，网站必须先得到用户的批准，随后才能获得位置讯息。然而就和以前出现过的其他功能一样，例如Vista的用户帐户控制，Android的应用程序权限，还有无效的HTTPS凭证等，这些需要用户作决定的安全措施几乎没有任何效果。而一旦有了授权，网站不仅可以知道受害者的位置，而且还可以在用户移动时对其进行实时追踪。

3, 利用桌面通知做社会工程学攻击：我们在HTML5 的五大优秀功能文章中曾经提到过HTML5的一个新功能：桌面通知。这些出现在浏览器之外的弹出窗口，其实是可以用HTML程序代码进行定制的。虽然这种 功能带来了很不错的交互方式，但也可能导致社会工程学攻击，例如网络钓鱼或者假冒杀毒软件等。看看下面的图片就可以想象到，攻击者可以如何利用这个新功能 了。

2, 利用跨域请求或WebSockets的端口扫描：有了HTML5，浏览器现在可以连到任何IP地址或网站的（几乎）任何端口。虽然除非目标网站有特别的允 许，不然并不能接收到来自任意端口连接的回应，但是研究人员表示，这类请求所花的时间可以用来判断目标端口是打开的还是关闭的。因此攻击者就可以直接利用 浏览器对受害者的内部网络进行端口扫描。

1, 点击劫持更加容易：点击劫持本身不是种新的攻击，这种攻击的目的是窃取受害者的鼠标按钮点击，然后将点击定向到攻击者所指定的其他页面。攻击者的目的是让 用户在不知情的情况下点击隐藏的链接。目前，对于点击劫持最好的服务器端防御措施之一是被称为Framekilling的技术。本质上来说，受到影响的网 站可以利用JavaScript来验证自己是否在一个iframe中运行，如果是的话，就拒绝显示页面内容。这种技术已经被在用在Facebook、 Gmail和其他一些网站中。但是HTML5在iframe中增加了一个新的沙盒属性，该属性会让网站停止执行JavaScript脚本。在大多数情况 下，这其实是比较安全的做法，但也存在缺点，就是会抵消目前对点击劫持最好的防御措施。

这里只列了五项HTML5可能导致的新攻击，趋势科技只是概略的描述。请继续收看这一系列的最后一篇：HTML5所带来丑恶的一面，还有我们对 HTML5攻击所发表的报告。这篇文章是HTML5系列的第二篇。你也可以先看看第一篇：探讨新的HTML5标准，以了解那些能够加强网站互动性的新功 能。而在今 天的这篇文章 里，趋势科技将带领读者看看这些HTML5功能可能被攻击者滥用的方式。这里并不打算详尽的进行举例，但如果有兴趣了解更多内容，我们会在本系列第三篇中 讨论关于HTML5攻击的深入报告。

3, 利用桌面通知做社会工程学攻击：我们在HTML5 的五大优秀功能文章中曾经提到过HTML5的一个新功能：桌面通知。这些出现在浏览器之外的弹出窗口，其实是可以用HTML程序代码进行定制的。虽然这种 功能带来了很不错的交互方式，但也可能导致社会工程学攻击，例如网络钓鱼或者假冒杀毒软件等。看看下面的图片就可以想象到，攻击者可以如何利用这个新功能 了。

转载：http://www.p2h.cn/5-html5-security-issues/