4.利用地理定位追蹤受害者:地理定位是HTML5新功能中最受注目的一個(gè)。因?yàn)榘踩碗[私的考慮���,網(wǎng)站必須先得到用戶的批準(zhǔn)�,隨后才能獲得位置訊息����。然而就和以前出現(xiàn)過(guò)的其他功能一樣,例如Vista的用戶帳戶控制���,Android的應(yīng)用程序權(quán)限�����,還有無(wú)效的HTTPS憑證等���,這些需要用戶作決定的安全措施幾乎沒有任何效果�����。而一旦有了授權(quán)���,網(wǎng)站不僅可以知道受害者的位置,而且還可以在用戶移動(dòng)時(shí)對(duì)其進(jìn)行實(shí)時(shí)追蹤�。
5.表單篡改:另一個(gè)新功能讓攻擊者可以在被注入JavaScript的網(wǎng)站(例如XSS攻擊)中更改該網(wǎng)頁(yè)上的表單行為。舉例來(lái)說(shuō)�����,攻擊者可以改變一個(gè)網(wǎng)絡(luò)商店的正常行為����,不是將內(nèi)容送到購(gòu)買或是登錄頁(yè)面,而是將用戶的身分認(rèn)證信息發(fā)送到攻擊者自己的網(wǎng)站����。
這里只列了五項(xiàng)HTML5可能導(dǎo)致的新攻擊,趨勢(shì)科技只是概略的描述�。請(qǐng)繼續(xù)收看這一系列的最后一篇:HTML5所帶來(lái)丑惡的一面,還有我們對(duì)HTML5攻擊所發(fā)表的報(bào)告�。
