HTML5 ‘e Yönelik Saldırılar ve Tehditler

Modern web saldırı türleri denilince aklımıza ilk gelen HTML5 ‘e yönelik saldırılar geliyor.  Çoğu tarayıcılarda aktif olarak desteklenmesi, yeni ve gelişmekte olması, HTML5 ‘e yönelik saldırıları arttıyor.

HTML5 ile birlikte bir çok yeni teknoloji ve bileşenler geliyor. XMLHttpRequest (XHR), cross-origin resource sharing (CORS), webSQL, yerel depolama vs…

HTML5, web mesajlaşma, web socket, GEO location bileşeni, Canvas 2d gibi teknolojilere kapı aralıyor…

HTML5 ile web teknolojisi geliştikçe artan saldırılar da aynı oranda gelişiyor ve artıyor.

2012 Black-Hat konferansına konu olan ve konuşmacı olarak çıkan Shreeraj Shah DOM, XHR ve localstorage ile ilgili en çok görülen 10 tehditi sıralıyor;

1. CSRF with XHR and CORS bypass (XHR ve CORS ile CSRF bypass [token hijacking])

2. Jacking – click, CORS, tabs (Tablar arası cookie çalımı ve kaynak erişimi)

3. HTML5-driven cross-site scripting using tags, events and attributes (Yeni gelen etiketlere, özelliklere ve olaylara XSS uygulanması [pushState() vb.] )

4. Attacking storage and DOM variables (DOM elemanları ile yerel depolamaya sızma)

5. Exploiting Browser SQL points (Tarayıcı DB Hacking)

6. Injection with Web Messaging and Workers (Web mesaj ve websocket’e saldırılar)

7. DOM-based cross site scripting and issues (DOM tabanlı XSS)

8. Offline attacks and cross-widget vectors (Offline saldırılar )

9. Web socket issues (Web socket bugları, sorunlar)

10. API and protocol attacks (API ve protokol saldırıları)

Bunların yanı sıra, HTML5 Security ile ilgili dikkate alınacak, makaleleri ve blogları yazıyorum;

Bir sonra ki makalemde, HTML5 ‘e yönelik bir saldırı türünü canlı olarak ele alacağız inşAllah.

 

Leave a Reply

Your email address will not be published. Required fields are marked *