(1)Ping Usage

Ping usage is very simple, here for an example.

When you click on the me click, the Ping send a asynchronous post request to the address , the content of Body is “PING”.

(2)Kiss of Death

DEMOCC_DOS.html {chrome}

(3)Privacy Track

DEMOaping.html  Ping.html  {chrome}

HTML5现在由WHATWG、W3C、IETF三个组织来共同开发制定。2012年12月17日,W3C发布HTML5完整规范功能版本,最终版本的发布还需要一些时间,但即便如此,现在主流浏览器Chrome、Firefox、Safari、Opera、IE都已经开始全面支持HTML5的现有功能。

HTML5已经不单单是HTML标签上的升级,它从语义特性、本地存储特性、设备兼容特性、连接特性、网页多媒体特性、三维/图形及特效特性、性能与集成特性、CSS3特性上都得以全面提升。可以说HTML5是WEB划时代的一场革新。

那么在这场革新中,众多的HTML5特性都存在哪些安全风险,对WEB安全又有何深远影响呢。我们现在把思路转到W3C->HTML5->Browser->WEB这个流程上来。从这个指示方向我们可以看出,W3C起草HTML5的众多规范,这些规范稍有成型后,浏览器厂商就会加入这些功能,最后在客户端以WEB的形式呈现。其中安全风险可以发生在这四个环节中的任意一个环节。但如果我们从源头上就开始分析可能存在的风险点,便可以在后续的环节中最大程度的加以防范。所以每每有人问我,怎么开始学WEB安全,如何变成WEB安全高手,我的回答都是:去读W3C吧。你可以在那一版一版的更新草案中发现,为什么会加上这个方法,为什么这版又去掉了这个语意,新加上的这个策略真细腻啊考虑的如此周全,又或是你会发现其中的一些原始设计缺陷。读,要耐得住寂寞慢慢的去品,涓涓细流,终究会聚涌成大海。

HTML5技术不仅在引领着WEB的发展模式和走向,而且也给基于WEB上的攻击注入了新的思路,那些已经发布或尚未发布的HTML5规范,都是打开WEB安全中潘多拉魔盒的钥匙。

介于此,在本次互联网安全大会的培训中,我将会从实战角度给大家体系化的介绍HTML5攻防中的高级手法,涉及内容包括众多HTML5独立草案,如WebStorage、Communication、WebWorkers 、WebSocket、Geolocation、WebRTC、WEB Components、SVG等,也包括各种新增的API函数、标签、属性等。在此过程中你会学到和HTLM5相关的很多攻击方法,如高级UI攻击、NOJS攻击、Bypass攻击、内网探测、获取隐私、漏洞挖掘技术等。HTML5的这些攻击手法也使得XSS、CSRF、Clickjacking在原有的攻击方式上得以扩充。最后在防御方面重点给大家介绍浏览器十大安全策略,包括CSP、CORS、X-Frame-Options等,讨论其策略设计思路的利弊,以及部署方法等。

东风烈,正是扬帆赶路时,让我们乘风波浪,驾驭着HTML5这条大船,在浩瀚的WEB安全海洋中任意驰骋吧。