警惕:HTML5移动应用的代码注入有风险
研究者发现HTML5开发者的错误会产生代码注入漏洞,并导致用户数据泄漏。
ICSA实验室的移动安全专家Jack Walsh指出,恶意代码可以偷偷窃取受害者的敏感信息并发送给攻击者,这针对HTML5的恶意代码还能偶像蠕虫一样传播,自动向受害者的联系人发送包含恶意代码的短信。
HTML5移动应用的安全缺陷危害很大,根据Gartner的报告,由于跨平台的特性,HTML5应用的普及很快,2016年超过半数的移动应用都将基于HTML5.
对于开发者来说,选择正确的API非常重要,因为最新的HTML5标准、样式表CSS和JavaScript能够将数据和代码混合执行。
如果开发者只想处理数据,但使用了错误的API,代码也会被自动执行,这就留下了巨大的安全隐患。如果混合代码的数据来自非受信方,HTML5移动应用就有可能被注入恶意代码并执行。
其实开发者错误导致的安全风险不仅仅限于HTML5应用, 事实上HTML5应用与web应用的安全机制并无本质区别。
攻击者向HTML5应用注入恶意代码的方法有很多,包括通过WiFi热点发送SSID,通过蓝牙数据交换、通过QR二维码,JPEG图片或者MP3音乐文档的元数据等。
为了实现跨平台,HTML5需要通过中间件框架来连接底层系统资源,例如文件系统、设备传感器和摄像头等。Android、iOS和Windows Phone有不同的容器用于访问服务,因此开发者通常将底层工作交给框架开发者来处理。
常见的框架包括PhoneGap、RhoMobile和Appcelerator等,不过移动开发框架本身的安全性并不容乐观,研究者在调查了186个PhoneGap的插件后,发现11个都存在代码注入漏洞。
ICSA实验室的移动安全专家Jack Walsh指出,恶意代码可以偷偷窃取受害者的敏感信息并发送给攻击者,这针对HTML5的恶意代码还能偶像蠕虫一样传播,自动向受害者的联系人发送包含恶意代码的短信。
HTML5移动应用的安全缺陷危害很大,根据Gartner的报告,由于跨平台的特性,HTML5应用的普及很快,2016年超过半数的移动应用都将基于HTML5.
对于开发者来说,选择正确的API非常重要,因为最新的HTML5标准、样式表CSS和JavaScript能够将数据和代码混合执行。
如果开发者只想处理数据,但使用了错误的API,代码也会被自动执行,这就留下了巨大的安全隐患。如果混合代码的数据来自非受信方,HTML5移动应用就有可能被注入恶意代码并执行。
其实开发者错误导致的安全风险不仅仅限于HTML5应用, 事实上HTML5应用与web应用的安全机制并无本质区别。
攻击者向HTML5应用注入恶意代码的方法有很多,包括通过WiFi热点发送SSID,通过蓝牙数据交换、通过QR二维码,JPEG图片或者MP3音乐文档的元数据等。
为了实现跨平台,HTML5需要通过中间件框架来连接底层系统资源,例如文件系统、设备传感器和摄像头等。Android、iOS和Windows Phone有不同的容器用于访问服务,因此开发者通常将底层工作交给框架开发者来处理。
常见的框架包括PhoneGap、RhoMobile和Appcelerator等,不过移动开发框架本身的安全性并不容乐观,研究者在调查了186个PhoneGap的插件后,发现11个都存在代码注入漏洞。
【警惕:HTML5移动应用的代码注入有风险】相关文章
3. 用jQuery Mobile做HTML5移动应用的三个优缺点
4. 用jQuery Mobile做HTML5移动应用的三个优缺点
7. 实战:jQuery Mobile开发HTML5移动应用
9. 实战:jQuery Mobile开发HTML5移动应用
10. 国内首个HTML5移动应用开发平台AppCan今日公测
本文来源:https://www.51html5.com/a3642.html
﹝警惕:HTML5移动应用的代码注入有风险﹞相关内容
- 英特尔平台开发HTML5移动应用
- 几种常用HTML5移动应用框架的比较
- HTML5移动应用开发框架 Mobello
- 在HTML5移动应用中挖掘XSS漏洞
- 如何组织大型JavaScript应用中的代码?
- HTML5开发中的安全风险
- 15 个响应式的 jQuery UI 组件的代码片段和模块
- 10款响应式的 jQuery UI 组件的代码和模块
- 分享5个最棒的代码片段资源网站
- CodeMirror:基于JavaScript的代码编辑器