這篇文章是HTML5迷你系列的第二篇。你也可以看看第一篇:探討新的HTML5標準。從那些能夠加強網站互動的新功能開始。
而在今天的文章裡,趨勢科技將帶領讀者看看這些HTML5功能可能被攻擊者如何的濫用。這裡並不打算詳盡的列舉出來,但是你如果有興趣知道更多的資訊,我們會在本系列第三篇發表關於HTML5攻擊的深入報告。
下面並沒有照特別順序的,我們要介紹五種可能會利用HTML5功能的攻擊:
點擊劫持(Clickjacking)更加容易:點擊劫持本身不是種新的攻擊。它的目的是竊取受害者的滑鼠按鈕點擊,然後導到攻擊者所指定的其他頁面。攻擊者的目的是讓使用者在不知情下點擊了隱藏的連結。目前,對於點擊劫持最好的伺服器端防禦措施之一,是被稱為Framekilling的技術。本質上來說,受到影響的網站可以利用JavaScript來看看自己是否在一個iframe中被執行,如果是的話,就拒絕顯示。這種技術已經在用在Facebook、Gmail和其他一些網站中。但是HTML5在iframe增加了一個新的沙箱屬性,這會讓網站停止執行JavaScript。在大多數情況下,這其實是比較安全的設定,但它也有缺點,就是會抵消目前對點擊劫持最好的防禦。
- 利用跨網域請求(Cross Origin Requests)或是WebSockets的端口掃描:有了HTML5,瀏覽器現在可以連到任何IP位址或網站(幾乎)的任何端口。雖然除非這目標的網站有特別的允許,不然並無法接收到連線的回應。但是研究人員已經表示,這類請求所花的時間可以用來判斷目標端口是打開還是關閉。這允許攻擊者可以直接利用瀏覽器對受害者的區域網路作端口掃描。
利用桌面通知做社交工程攻擊:我們在HTML5 好的一面的文章內有提到HTML 5的新功能 – 桌面通知。這些出現在瀏覽器之外的彈出視窗,其實是可以用HTML程式碼來客製化的。雖然這帶來了很不錯的互動可能性,但它也是社交工程攻擊,像是網路釣魚(Phishing)或是假防毒軟體等手法的寶庫。看看下面的圖片就可以想像攻擊者可以如何的利用這一個新功能了。
利用地理定位追蹤受害者:地理定位是HTML5新功能中最受注目的之一。因為安全和隱私考量,網站必須先得到使用者的允許才能夠獲得位置訊息。然而,就跟之前出現過的其他功能一樣,像是Vista的使用者帳戶控制,Android的應用程式權限,還有無效的HTTPS憑證等,這些需要使用者作決定的安全措施很少是有用的。而一旦有了授權後,網站不僅可以知道受害者的位置,而且還可以在使用者移動時也能即時的追踪他們。
- 表格篡改:另一個新功能讓攻擊者可以在被注入JavaScript的網站(例如XSS攻擊)改變該網頁上的表格行為。舉例來說,攻擊者可以改變一個網路商店的正常行為,不是將內容送到購買或是登入頁面,而是將使用者的身分認證送到攻擊者的網站。
這裡只列了五項 HTML5可能導致的新攻擊,趨勢科技只是概略的描述。請繼續收看這迷你系列的最後一篇 –HTML5所帶來醜惡的一面 3-3。
@原文出處:HTML5 – The Bad作者:Robert(資深威脅研究員)
◎ 歡迎加入趨勢科技社群網站
