Inhaltsverzeichnis
1. Interface-Operation-Hijacking
HTML5-Sicherheits-Cheatsheet
Heim Web-Frontend H5-Tutorial Detaillierte grafische Erläuterung des Interface-Operation-Hijackings und der HTML5-Sicherheit

Detaillierte grafische Erläuterung des Interface-Operation-Hijackings und der HTML5-Sicherheit

Apr 24, 2017 am 10:46 AM

1. Interface-Operation-Hijacking

1) ClickJacking

ClickJacking ist eine Art visuelle Täuschung.

Der Angreifer verwendet einen transparenten und unsichtbaren IFFrame, um eine bestimmte Position auf der Webseite abzudecken und Benutzer zum Klicken auf den Iframe zu verleiten.

2) TapJacking

Mobile Geräte werden mittlerweile zunehmend genutzt Aus den Eigenschaften mobiler Geräte wird TapJacking (Touchscreen-Hijacking) abgeleitet.

Um Platz zu sparen, können mobile Browser die Adressleiste ausblenden, wodurch die visuelle Täuschung auf Mobiltelefonen einfacher zu implementieren ist.

1. Im ersten Bild wird oben die Adressleiste des Browsers angezeigt und der Angreifer zeichnet eine gefälschte Adressleiste auf die Seite; 2. Im zweiten Bild wurde die echte Browser-Adressleiste automatisch ausgeblendet, und jetzt ist nur noch die gefälschte Adressleiste auf der Seite übrig.

3 Im dritten Bild ist die Browser-Adressleiste normalerweise ausgeblendet . Situation.

Dieser visuelle Angriff kann für Phishing und Betrug ausgenutzt werden.

3) Es gibt einen Antwortheader X-Frame-Options

im HTTP-Header stehen drei Werte zur Auswahl:

1 . DENY: Diese Seite

erlaubt das Laden von Iframe-Seiten.

2. SAMEORIGIN: Diese Seite kann Iframe-Seiten mit demselben Domainnamen laden

.

3. ALLOW-FROM uri: Diese Seite kann die Iframe-Seite von der

angegebenen Quelle laden.

2. HTML5-Sicherheit

In HTML5 wurden einige neue -Tags und Attribute hinzugefügt, die zu neuen Änderungen bei Webangriffen wie XSS geführt haben . Diese Änderungen sind im

HTML5-Sicherheits-Cheatsheet

zusammengefasst. 1) Versteckter URL-Schadcode

Im reflektierten XSS wird Schadcode in die URL-Parameter geschrieben. In diesem Fall können Benutzer auch Schadcode sehen, beispielsweise den folgenden Link: Kann über window.history bedient werdenBrowserverlauf

.

http://www.csrf.net/csrf.html?id=<script>111</script>
Nach dem Login kopieren

pushState() hat drei Parameter: StateObject, Titel und optionale URL-Adresse.

Nach der Ausführung des obigen Codes werden die Parameter ausgeblendet.

history.pushState({},"", location.href.split(&#39;?&#39;).shift());
Nach dem Login kopieren

Die neue URL-Adresse lautet wie folgt:

„pushState“ kann auch gefälscht werden

Browserverlauf

.

2) Botnet unter HTML5

for(i=0; i<10; i++)
    history.pushState({},"", "/"+i+".html");
Nach dem Login kopieren

Botnet bezieht sich auf das Einschleusen spezifischer Schadprogramme in ein Eine große Anzahl von Computern ermöglicht es dem Controller, Anweisungen über mehrere Computer direkt an andere Computer zu senden, um Netzwerkangriffe durchzuführen.

Botnets, die auf Web-Frontends basieren, können als DDOS-Angriffe verwendet werden, was

Web Worker-Technologie

und

beinhaltet CORS-Verarbeitungsmechanismus

und dann über Webwürmer verbreitet. Web Worker ist ein Multithread-Mechanismus, der bösartigen JS-Code asynchron ausführen kann, ohne den normalen Betrieb des Benutzers im Browser zu beeinträchtigen. Der CORS-Verarbeitungsmechanismus funktioniert auf Browserebene. Wenn der Server keine standortübergreifenden Anforderungen zulässt, fängt der Browser die vom Server zurückgegebenen Ergebnisse ab, was bedeutet, dass der Server normal auf domänenübergreifende Anforderungen reagiert .

那么就可以事先写好一段异步请求的脚本(worker.js),然后通过Web Worker来执行这段脚本,不断的向目标服务器发起请求。

var worker_loc = &#39;worker.js&#39;;//封装了ajax请求的脚本
var target = &#39; 
//可实例化多个
Web Workervar workers = [];for (i = 0; i < 1; i++) {
      workers[i] = new Worker(worker_loc);
      workers[i].postMessage(target);//跨域消息传递}
Nach dem Login kopieren

Das obige ist der detaillierte Inhalt vonDetaillierte grafische Erläuterung des Interface-Operation-Hijackings und der HTML5-Sicherheit. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn

Heiße KI -Werkzeuge

Undresser.AI Undress

Undresser.AI Undress

KI-gestützte App zum Erstellen realistischer Aktfotos

AI Clothes Remover

AI Clothes Remover

Online-KI-Tool zum Entfernen von Kleidung aus Fotos.

Undress AI Tool

Undress AI Tool

Ausziehbilder kostenlos

Clothoff.io

Clothoff.io

KI-Kleiderentferner

AI Hentai Generator

AI Hentai Generator

Erstellen Sie kostenlos Ai Hentai.

Heißer Artikel

R.E.P.O. Energiekristalle erklärten und was sie tun (gelber Kristall)
2 Wochen vor By 尊渡假赌尊渡假赌尊渡假赌
Repo: Wie man Teamkollegen wiederbelebt
4 Wochen vor By 尊渡假赌尊渡假赌尊渡假赌
Hello Kitty Island Abenteuer: Wie man riesige Samen bekommt
4 Wochen vor By 尊渡假赌尊渡假赌尊渡假赌

Heiße Werkzeuge

Notepad++7.3.1

Notepad++7.3.1

Einfach zu bedienender und kostenloser Code-Editor

SublimeText3 chinesische Version

SublimeText3 chinesische Version

Chinesische Version, sehr einfach zu bedienen

Senden Sie Studio 13.0.1

Senden Sie Studio 13.0.1

Leistungsstarke integrierte PHP-Entwicklungsumgebung

Dreamweaver CS6

Dreamweaver CS6

Visuelle Webentwicklungstools

SublimeText3 Mac-Version

SublimeText3 Mac-Version

Codebearbeitungssoftware auf Gottesniveau (SublimeText3)

Wie füge ich meiner HTML5 -Website Audio hinzu? Wie füge ich meiner HTML5 -Website Audio hinzu? Mar 10, 2025 pm 03:01 PM

In diesem Artikel wird erläutert, wie Audio in HTML5 mit dem & lt; audio & gt; Element, einschließlich Best Practices für die Formatauswahl (MP3, OGG Vorbis), Dateioptimierung und JavaScript -Steuerung für die Wiedergabe. Es betont die Verwendung von mehreren Audio f f

Wie benutze ich die API der HTML5 -Seite Sichtbarkeit, um zu erkennen, wann eine Seite sichtbar ist? Wie benutze ich die API der HTML5 -Seite Sichtbarkeit, um zu erkennen, wann eine Seite sichtbar ist? Mar 13, 2025 pm 07:51 PM

In dem Artikel werden die Sichtbarkeits -API der HTML5 -Seite mit der Sichtbarkeit von Seiten ermittelt, die Benutzererfahrung verbessert und die Ressourcennutzung optimiert. Zu den wichtigsten Aspekten gehören die Pause, die Verringerung der CPU -Last und die Verwaltung von Analysen auf der Grundlage von Sichtbarkeitsänderungen.

Wie verwende ich HTML5 -Formulare für Benutzereingaben? Wie verwende ich HTML5 -Formulare für Benutzereingaben? Mar 10, 2025 pm 02:59 PM

In diesem Artikel wird erläutert, wie HTML5 -Formulare erstellt und validiert werden. Es beschreibt die Form & gt; Element, Eingabetypen (Text, E -Mail, Nummer usw.) und Attribute (erforderlich, Muster, min, max). Die Vorteile von HTML5 -Formen gegenüber älteren Methoden, inkl.

Wie gehe ich mit der Privatsphäre und Berechtigungen des Benutzer Ort mit der Geolocation -API um? Wie gehe ich mit der Privatsphäre und Berechtigungen des Benutzer Ort mit der Geolocation -API um? Mar 18, 2025 pm 02:16 PM

In dem Artikel wird die Verwaltung der Privatsphäre und Berechtigungen des Benutzerstandorts mithilfe der Geolocation -API erörtert, wobei die Best Practices für die Anforderung von Berechtigungen, die Gewährleistung der Datensicherheit und die Einhaltung der Datenschutzgesetze hervorgehoben werden.

Wie erstelle ich interaktive Spiele mit HTML5 und JavaScript? Wie erstelle ich interaktive Spiele mit HTML5 und JavaScript? Mar 10, 2025 pm 06:34 PM

In diesem Artikel werden interaktive HTML5 -Spiele mit JavaScript erstellt. Es umfasst das Spieldesign, die HTML -Struktur, das CSS -Styling, die JavaScript -Logik (einschließlich Ereignisbearbeitung und -animation) und die Audio -Integration. Essentielle JavaScript -Bibliotheken (Phaser, PI

Wie verwende ich Ansichtsfenster -Meta -Tags, um die Seite zu steuern, die auf mobilen Geräten skaliert wird? Wie verwende ich Ansichtsfenster -Meta -Tags, um die Seite zu steuern, die auf mobilen Geräten skaliert wird? Mar 13, 2025 pm 08:00 PM

In dem Artikel werden die Meta-Tags mit Ansichtsfenster besprochen, um die Seite zu steuern, die auf mobilen Geräten skaliert und sich auf Einstellungen wie Breite und initiale Maßstäbe für optimale Reaktionsfähigkeit und Leistung konzentriert.Character Count: 159

Wie verwende ich die HTML5 -Benachrichtigungs -API, um Desktop -Benachrichtigungen anzuzeigen? Wie verwende ich die HTML5 -Benachrichtigungs -API, um Desktop -Benachrichtigungen anzuzeigen? Mar 13, 2025 pm 07:57 PM

In dem Artikel wird erläutert, wie die HTML5 -Benachrichtigungs -API verwendet wird, um Desktop -Benachrichtigungen anzuzeigen und sich auf die Berechtigungsanforderungen, die Anpassung und den Browserunterstützung zu konzentrieren.

Wie verwende ich die HTML5 WebSockets -API für die bidirektionale Kommunikation zwischen Client und Server? Wie verwende ich die HTML5 WebSockets -API für die bidirektionale Kommunikation zwischen Client und Server? Mar 12, 2025 pm 03:20 PM

In diesem Artikel werden die HTML5 WebSockets-API für die Kommunikation zwischen bidirektionaler Client-Server in Echtzeit erläutert. Es werden clientseitige (JavaScript) und serverseitige (Python/Flask) -implementierungen beschrieben, die Herausforderungen wie Skalierbarkeit, staatliches Management, ein

See all articles