HTML5安全风险之Web Worker攻击详解
一、webworker介绍
由于javascript是单线程执行的,在执行过程中浏览器不能执行其它javascript脚本,ui渲染线程也会被挂起,从而导致浏览器进入僵死状态。使用webworker可以将计算过程放入一个新线程里去执行将避免这种情况的出现。这样我们可以同时执行多个js任务而不会阻塞浏览器,非常适合异步交互和大规模计算,这在以前是很难做到的。
下面一张图形象的揭示了webworker的作用:没有webworker时,如果我们要煎一个鸡蛋饼,需要先和面粉,然后打鸡蛋,最后才能煎饼;使用webworker,可以在和面粉的同时打鸡蛋,这两者同时进行,都完成后就能开始煎饼,极大的缩短了等待的时间。
但是这样一个好的特性也会引入攻击的可能。
二、webworker攻击
1、botnet
攻击的方式包括ddos攻击、发送垃圾邮件,用户一旦访问恶意页面或者网站时,页面的恶意代码就能把用户的浏览器当作肉鸡,利用webworker大规模执行多线程攻击,例如ddos攻击、发送垃圾邮件或者进行网络嗅探。
ddos攻击(分布式拒绝服务攻击)
2、postmessage带来的问题
webworker无法访问dom,只能通过postmessageapi和主线程通信。postmessage在html5中被引入,用来解决跨域或者跨线程数据交互的问题。但是如果messaging可以接收任何来源的信息,此页面有可能会被攻击;另外postmessage不通过服务器,如果不经过验证和过滤,可能成为xss注入点。例如如下代码没有对输入数据进行验证和清洗,攻击者完全可以构造恶意的data来注入页面dom,构造xss攻击,形如“><script></script>”等等。
三、攻击工具
ravan是一个js的分布式计算系统,可以用html5web worker通过后台加密的js多线程脚本来执行蛮力攻击。
四、预防之道
1、对于用户来说,不要访问不安全的站点。
2、使用postmessage时需要验证来源可信;另外不要使用innerhtml,现代浏览器提供了textcontent属性,可以帮助对html标签进行过滤,或者你可以自行编写过滤的逻辑和函数。
以上就是关于web worker攻击的详细介绍,希望对大家的学习有所帮助。
上一篇: 利用电子书进行网络营销
下一篇: Golang中文字符串截取函数实现原理