计算机应用与软件摘要合集.pdf

计算机应用与软件 Computer Applications and Software HTML5 安全研究 1,2 1 2 2 1,2 孙松柏 Ali Abbasi 诸葛建伟 段海新 王珩 1(清华大学计算机科学与技术系 北京 100084) 2(清华大学清华大学网络科学与网络空间研究院 北京 100084) 摘 要 HTML5 是目前富互联网应用(RIA) 中最重要的技术之一，由于得到了业界厂商的大力支持，发展迅速，已经成为未来 应用发展的事实标准。新技术的引用，在给用户提供丰富多彩互联网的同时，也引入了新的安全问题： 、 Web CORS XHR-LEVEL2 等已经打破了浏览器原有的同源策略准则 ； 、 等新功能在增强客户端能力的同时，也提供了一 (SOP) Web Storage Application Cache 些新型的客户端攻击机制；Web Workers 、Web Socket 等新特性则引入了新的滥用手段。在中国互联网上，越来越多的网站开始 逐步采用HTML5 技术，但在安全防护方面还存在众多弱点。与此同时，目前大多数Web 应用扫描器都不具备检测HTML5 安全 问题的特性，这使得HTML5 安全问题在安全评估与渗透测试过程中成为盲点。本文深入探讨了HTML5 新引入的安全威胁，通 过对国内支持HTML5 大型网站的测试发现了大量安全问题，并对现有Web 应用扫描器对HTML5 支持情况进行了调查分析，结 果验证了国内互联网网站对于HTML5 新形态安全威胁的脆弱性。 关键词 HTML5 Web 应用安全 CORS Web 应用扫描 中图分类号 TP393.08 文献标识码 A Research on HTML5 Security Sun Songbai1.2 Ali Abbasi 1 Zhuge Jianwei2 Duan Haixin2 1 (Department of Computer Science and Technology, Tsinghua University, Beijing 100084, China) 2 (Institute for Network Science and Cyberspace, Tsinghua University, Beijing 100084, China) Abstract HTML5 is one of the most important