인터페이스 조작 하이재킹 및 HTML5 보안에 대한 자세한 그래픽 설명

1. 인터페이스 조작 하이재킹

1) 클릭재킹

클릭재킹은 일종의 시각적 속임수입니다.

공격자는 투명하고 보이지 않는 if프레임을 이용해 웹 페이지의 특정 위치를 가리고 사용자가 iframe을 클릭하도록 유도합니다.

2) TapJacking

모바일 기기의 사용이 점점 더 늘어나고 있습니다. 모바일 기기의 특성을 반영하여 TapJacking(터치스크린 하이재킹)이 파생됩니다.

휴대폰의 화면 범위는 제한되어 있습니다. 공간을 절약하기 위해 모바일 브라우저는 주소 표시줄을 숨겨 휴대폰에서 시각적인 속임수를 더 쉽게 구현할 수 있습니다.

3) HTTP 헤더에 응답 헤더 X-Frame-Options

가 있으며 선택할 수 있는 세 가지 값이 있습니다.

1 . 거부: 이 페이지

에서는 가 iframe 페이지를 로드하는 것을 허용하지 않습니다.

2. SAMEORIGIN: 이 페이지는

동일한 도메인 이름을 가진 iframe 페이지를 로드할 수 있습니다.

3. ALLOW-FROM uri: 이 페이지는

지정된 소스에서 iframe 페이지를 로드할 수 있습니다.

2. HTML5 보안

HTML5에는 에 새로운 태그와 속성

이 추가되어 XSS 등 웹 공격에 새로운 변화를 가져왔습니다. . 이러한 변경 사항은

HTML5 보안 요약본

에 요약되어 있습니다. 1) 숨은 URL 악성코드

반영된 XSS에서는 URL 매개변수에 악성코드가 작성되며, 이 경우 사용자는 다음 링크와 같은 악성 코드도 볼 수 있습니다.

http://www.csrf.net/csrf.html?id=<script>111</script>

window.history를 통해 브라우저 기록

을 조작할 수 있습니다.

pushState()에는 StateObject

, 제목 및 선택적 URL 주소의 세 가지 매개 변수가 있습니다.

history.pushState({},"", location.href.split('?').shift());

위 코드를 실행하면 매개변수가 숨겨집니다.

새 URL 주소는 다음과 같습니다.

브라우저 기록

.

for(i=0; i<10; i++)
    history.pushState({},"", "/"+i+".html");

로그인 후 복사

2) HTML5 하의 Botnet

웹 프런트 엔드 기반 봇넷은

Web Worker 기술

및 이후 웹 웜을 통해 확산됩니다. Web Worker는 브라우저에서 사용자의 정상적인 작동에 영향을 주지 않고 악성 JS 코드를 비동기적으로 실행할 수 있는 멀티 스레드 메커니즘입니다. CORS 처리 메커니즘은 브라우저 수준에서 작동합니다. 서버가 크로스 사이트를 허용하지 않으면 브라우저는 서버가 반환한 결과를 가로챕니다. 즉, 서버가 크로스 도메인 요청에 정상적으로 응답한다는 의미입니다. .

那么就可以事先写好一段异步请求的脚本（worker.js），然后通过Web Worker来执行这段脚本，不断的向目标服务器发起请求。

var worker_loc = 'worker.js';//封装了ajax请求的脚本
var target = ' 
//可实例化多个
Web Workervar workers = [];for (i = 0; i < 1; i++) {
      workers[i] = new Worker(worker_loc);
      workers[i].postMessage(target);//跨域消息传递}

위 내용은 인터페이스 조작 하이재킹 및 HTML5 보안에 대한 자세한 그래픽 설명의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!