HTML5安全研究

被引：9

作者：

孙松柏 ^{[1
,2
]}

Ali Abbasi ^{[1
]}

诸葛建伟 ^{[2
]}

段海新 ^{[2
]}

王珩 ^{[1
,2
]}

机构：

[1] 清华大学计算机科学与技术系

[2] 清华大学网络科学与网络空间研究院

来源：

计算机应用与软件 | 2013年 / 30卷 / 03期

关键词：

HTML5; Web应用安全; CORS; Web应用扫描;

D O I：

暂无

中图分类号：

TP393.08 [];

学科分类号：

0839 ; 1402 ;

摘要：

HTML5是目前富互联网应用(RIA)中最重要的技术之一。由于得到了业界厂商的大力支持,发展迅速,已经成为未来Web应用发展的事实标准。新技术的引用,在给用户提供丰富多彩互联网的同时,也引入了新的安全问题:CORS、XHR-LEVEL2等已经打破了浏览器原有的同源策略准则(SOP);Web Storage、Application Cache等新功能在增强客户端能力的同时,也提供了一些新型的客户端攻击机制;Web Workers、Web Socket等新特性则引入了新的滥用手段。在中国互联网上,越来越多的网站开始逐步采用HTML5技术,但在安全防护方面还存在众多弱点。与此同时,目前大多数Web应用扫描器都不具备检测HTML5安全问题的特性,这使得HTML5安全问题在安全评估与渗透测试过程中成为盲点。深入探讨HTML5新引入的安全威胁,通过对国内支持HTML5大型网站的测试发现了大量安全问题,并对现有Web应用扫描器对HTML5支持情况进行了调查分析,结果验证了国内互联网网站对于HTML5新形态安全威胁的脆弱性。

引用

页码：1 / 6+16 +16

页数：7