HTML5资讯

当前位置: HTML5技术网 > HTML5资讯 > 警惕:HTML5移动应用的代码注入有风险

警惕:HTML5移动应用的代码注入有风险

       研究者发现HTML5开发者的错误会产生代码注入漏洞,并导致用户数据泄漏。



       近日在加州举行的移动安全技术大会上,Syracuse大学的研究者的研究报告显示HTML5移动应用可能会给企业带来新的安全风险。开发者的错误可能导致HTML5应用自动执行攻击者通过Wifi蓝牙或短信发送的恶意代码。
       ICSA实验室的移动安全专家Jack Walsh指出,恶意代码可以偷偷窃取受害者的敏感信息并发送给攻击者,这针对HTML5的恶意代码还能偶像蠕虫一样传播,自动向受害者的联系人发送包含恶意代码的短信。
       HTML5移动应用的安全缺陷危害很大,根据Gartner的报告,由于跨平台的特性,HTML5应用的普及很快,2016年超过半数的移动应用都将基于HTML5.
       对于开发者来说,选择正确的API非常重要,因为最新的HTML5标准、样式表CSS和JavaScript能够将数据和代码混合执行。
       如果开发者只想处理数据,但使用了错误的API,代码也会被自动执行,这就留下了巨大的安全隐患。如果混合代码的数据来自非受信方,HTML5移动应用就有可能被注入恶意代码并执行。
       其实开发者错误导致的安全风险不仅仅限于HTML5应用, 事实上HTML5应用与web应用的安全机制并无本质区别。
       攻击者向HTML5应用注入恶意代码的方法有很多,包括通过WiFi热点发送SSID,通过蓝牙数据交换、通过QR二维码,JPEG图片或者MP3音乐文档的元数据等。
       为了实现跨平台,HTML5需要通过中间件框架来连接底层系统资源,例如文件系统、设备传感器和摄像头等。Android、iOS和Windows Phone有不同的容器用于访问服务,因此开发者通常将底层工作交给框架开发者来处理。
       常见的框架包括PhoneGap、RhoMobile和Appcelerator等,不过移动开发框架本身的安全性并不容乐观,研究者在调查了186个PhoneGap的插件后,发现11个都存在代码注入漏洞。

【警惕:HTML5移动应用的代码注入有风险】相关文章

1. 警惕:HTML5移动应用的代码注入有风险

2. 分析称移动应用收入有望于2016年突破500亿美元

3. 用jQuery Mobile做HTML5移动应用的三个优缺点

4. 用jQuery Mobile做HTML5移动应用的三个优缺点

5. AppCan:HTML5移动应用开发领域的实践

6. 国内HTML5移动应用开发工具AppCan-SDK

7. 实战:jQuery Mobile开发HTML5移动应用

8. Motorola发布企业级HTML5移动应用开发框架

9. 实战:jQuery Mobile开发HTML5移动应用

10. 国内首个HTML5移动应用开发平台AppCan今日公测

本文来源:https://www.51html5.com/a3642.html

点击展开全部

﹝警惕:HTML5移动应用的代码注入有风险﹞相关内容

「警惕:HTML5移动应用的代码注入有风险」相关专题

其它栏目

也许您还喜欢