一、WebStorage簡介
HTML5支援WebStorage,開發者可以為應用建立本地存儲,存儲一些有用的資訊。例如LocalStorage可以長期存儲,而且存放空間很大,一般是5M,極大的解決了之前隻能用Cookie來存儲資料的容量小、存取不便、容易被清除的問題。這個功能為用戶端提供了極大的靈活性。
二、攻擊方式
LocalStorage的API都是通過Javascript提供的,這樣攻擊者可以通過XSS攻擊竊取資訊,例如使用者token或者資料。攻擊者可以用下面的腳本周遊本地存儲。
同時要提一句,LocalStorage并不是唯一暴露本地資訊的方式。我們現在很多開發者有一個不好的習慣,為了友善,把很多關鍵資訊放在全局變量裡,例如使用者名、密碼、郵箱等等。資料不放在合适的作用域裡會帶來嚴重的安全問題,例如我們可以用下面的腳本周遊全局變量來擷取資訊。
三、攻擊工具
HTML5dump的定義是“JavaScriptthat dump all HTML5 local storage”,它也能輸出HTML5 SessionStorage、全局變量、LocalStorage和本地資料庫存儲。
四、防禦之道
對于WebStorage攻擊的防禦措施是:
1、資料放在合适的作用域裡
例如使用者sessionID就不要用LocalStorage存儲,而需要放在sessionStorage裡。而使用者資料不要儲存在全局變量裡,而應該放在臨時變量或者局部變量裡。
2、不要存儲敏感的資訊
因為我們總也無法知道頁面上是否會存在一些安全性的問題,一定不要将重要的資料存儲在WebStorage裡。
以上就是Web Storage攻擊詳細介紹,希望對大家學習Web Storage攻擊有所幫助。