本文選題：HTML　切入點(diǎn)：Web應(yīng)用安全　出處：《計(jì)算機(jī)應(yīng)用與軟件》2013年03期 　論文類型：期刊論文

【摘要】：HTML5是目前富互聯(lián)網(wǎng)應(yīng)用(RIA)中最重要的技術(shù)之一。由于得到了業(yè)界廠商的大力支持,發(fā)展迅速,已經(jīng)成為未來(lái)Web應(yīng)用發(fā)展的事實(shí)標(biāo)準(zhǔn)。新技術(shù)的引用,在給用戶提供豐富多彩互聯(lián)網(wǎng)的同時(shí),也引入了新的安全問(wèn)題:CORS、XHR-LEVEL2等已經(jīng)打破了瀏覽器原有的同源策略準(zhǔn)則(SOP);Web Storage、Application Cache等新功能在增強(qiáng)客戶端能力的同時(shí),也提供了一些新型的客戶端攻擊機(jī)制;Web Workers、Web Socket等新特性則引入了新的濫用手段。在中國(guó)互聯(lián)網(wǎng)上,越來(lái)越多的網(wǎng)站開始逐步采用HTML5技術(shù),但在安全防護(hù)方面還存在眾多弱點(diǎn)。與此同時(shí),目前大多數(shù)Web應(yīng)用掃描器都不具備檢測(cè)HTML5安全問(wèn)題的特性,這使得HTML5安全問(wèn)題在安全評(píng)估與滲透測(cè)試過(guò)程中成為盲點(diǎn)。深入探討HTML5新引入的安全威脅,通過(guò)對(duì)國(guó)內(nèi)支持HTML5大型網(wǎng)站的測(cè)試發(fā)現(xiàn)了大量安全問(wèn)題,并對(duì)現(xiàn)有Web應(yīng)用掃描器對(duì)HTML5支持情況進(jìn)行了調(diào)查分析,結(jié)果驗(yàn)證了國(guó)內(nèi)互聯(lián)網(wǎng)網(wǎng)站對(duì)于HTML5新形態(tài)安全威脅的脆弱性。
[Abstract]:HTML5 is one of the most important technologies in the Rich Internet Application (RIA). Because of the strong support and rapid development of the industry manufacturers, HTML5 has become the de facto standard for the development of Web applications in the future. In addition to providing users with rich and colorful Internet, we also introduce new security issues, such as: CORBA XHR-LEVEL2, which have broken the browser's original homology policy guidelines, such as SOP / Web Storage Application Cache and so on, while enhancing client capabilities. It also provides some new client-side attack mechanisms, such as web workers and web Socket, and introduces new means of abuse. On the Chinese Internet, more and more websites begin to adopt HTML5 technology step by step. At the same time, most Web application scanners do not have the ability to detect HTML5 security problems. This makes the HTML5 security problem become a blind spot in the process of security evaluation and penetration testing. The existing Web application scanners for HTML5 support are investigated and analyzed. The results verify the vulnerability of domestic Internet sites to the new form of HTML5 security threats.
【作者單位】： 清華大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)系;清華大學(xué)網(wǎng)絡(luò)科學(xué)與網(wǎng)絡(luò)空間研究院;
【基金】：國(guó)家自然科學(xué)基金項(xiàng)目(61003127) 國(guó)家重點(diǎn)基礎(chǔ)研究發(fā)展計(jì)劃項(xiàng)目(2009CB320505)
【分類號(hào)】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 周敬利;汪健;夏洪濤;;基于Apache的Web應(yīng)用安全防護(hù)研究[J];計(jì)算機(jī)工程與科學(xué);2006年04期

2 孫繼紅;;Web應(yīng)用安全的研究[J];硅谷;2009年23期

3 王紅兵;;Web應(yīng)用威脅建模與定量評(píng)估[J];清華大學(xué)學(xué)報(bào)(自然科學(xué)版);2009年S2期

4 劉天寅;;HTML5與未來(lái)的WEB應(yīng)用平臺(tái)[J];陰山學(xué)刊(自然科學(xué));2010年02期

5 陳廣成;;拿什么拯救Web時(shí)代的安全危機(jī)[J];網(wǎng)絡(luò)與信息;2011年04期

6 龍奇;;新一代網(wǎng)絡(luò)技術(shù)標(biāo)準(zhǔn)HTML5的研究[J];科技信息;2011年10期

7 邢曉鵬;;HTML5核心技術(shù)的研究與價(jià)值分析[J];價(jià)值工程;2011年22期

8 顧e，

本文編號(hào)：1573249