常见web应用安全问题分析

我们经常见到各类H5海报，比如，产品展示、活动促销、招聘启示、乃至小游戏等。H5不仅能够无缝的嵌入App、小程序，还可以作为一个拥有独立链接地址的页面，直接在PC端打开，可以说良好跨平台适配。

H5技术成熟，开发周期短，投入和维护成本低，兼容性好。根据需求，H5可以制作文字、图形、音频、视频，因此可以用于PC网站、手机网站、微站、Web App、轻应用，甚至，开发目前最火的元宇宙概念——Web VR（虚拟现实大众化）。因此被广泛应用于展示、营销、调查、游戏等等。

到底什么是H5？

H5是基于HTML5的网页文件。HTML（全称，Hyper Text Markup Language），即超文本标记语言，由Web（World Wide Web，即全球广域网、万维网）的发明者 Tim Berners-Lee和同事 Daniel W. Connolly创立。

作为一种标记语言，HTML是标准通用化标记语言（SGML，是一种定义电子文档结构和描述其内容的国际标准语言）的应用。用HTML编写的超文本文档，能独立于各种操作系统平台使用。也就是，将所需要表达的信息写成HTML文件，通过浏览器就能展现为普通人能够识别，即现在所见到的网页。

每一个HTML文档都是一种静态的网页文件，这个文件里面包含了HTML指令代码，这些指令代码并不是一种程序语言，只是一种排版网页中资料显示位置的标记结构语言，易学易懂，非常简单。能够通过标记式的指令(Tag)，将影像、声音、图片、文字动画、影视等内容显示出来。

由于HTML5不仅支持文字、图片、音频和视频，还能够支持地里定位，并拥有单独的数据存储方式，因此被广泛包到移动端，很多企业用HTML5做手机网页、网站、游戏，更用于制作App。

H5有哪些业务风险

链接伪造风险。 攻击者通过伪造的H5网页链接，入侵破坏业务系统乃至内网，窃取重要信息、账户密码等。

页面篡改风险。 H5网页代码遭篡改复制，做成钓鱼页面，盗取用户账户密码和信息等。

信息泄露风险。 H5网页被植入恶意代码，盗取访问者的账号密码、隐私信息等。

账号破解风险。 H5往往是App或小程序应用服务的延伸，与平台账户体系关联，很容易成为攻击者盗取账号、破解密码的重要目标。

早期版本的HTML仅允许网站将cookies作为本地信息存储，而这些空间相对较小，仅适用于存储简单的档案信息或者作为存储在其他位置的数 据(例如会话ID)的标识符，Denim集团应用程序安全研究部门的主管Dan Cornell表示。然而，HTML5 LocalStorage则允许浏览器本地存储大量据库，允许使用新类型应用程序。

“随之而来的风险就是，敏感数据可能被存储在本地用户工作站，而物理访问或者破坏该工作站的攻击者，就能够轻松获得敏感数据，”Cornell 表示，“这对于使用共享计算机的用户更加危险。”

“从定义上来说，它真的只是能够在客户端系统存储信息，”Rapid7公司的安全研究人员Josh Abraham表示，“那么你就具备基于客户端SQL注入攻击的潜在能力，或者可能你的某个客户端的数据库是恶意的，当与生产系统同步时，则可能出现同步 问题，或者客户端的潜在恶意数据将被插入到生产系统。”

为了解决这个问题，开发人员需要能够验证数据是否为恶意的，这其实是个很复杂的问题。

对于这个问题的重要性并不是所有人都赞同。Veracode公司首席技术官Chris Wysopal表示，例如web应用程序通过使用插件或者浏览器扩展存储数据客户端就一直存在很多方法。

“有很多已知的方法可以操控目前部署的HTML5 SessionStorage属性，但是标准最终确定时，这个问题才会解决，”Wysopal表示。

跨域通信

而其他版本的HTML可能直允许JavaScript发出XML HTTP请求调用回原来的服务器，而HTML5放宽了这个限制，XML HTTP请求可以发送给任何允许这种请求的服务器。当然，如果服务器不可信任的话，这也会带来严重安全问题。

“例如，我可以建立一个mashup(糅合，将两种以上使用公共或者私有数据库的web应用合并形成一个整合应用)通过 JSON(Javascript Object Notation)将第三方网站的比赛比分拉过来，”Cornell表示，“这个网站可能会发送恶意数据到我的用户浏览器正在运行的应用程序上。虽说 HTML5允许新类型的应用程序的建立，但如果开发人员在开始使用这些功能时，并不理解他们所建立的应用程序的安全意义，那么将会给用户带来很大安全风 险。”

对于依赖于PostMessage()来编写应用程序的开发人员而言，必须仔细检查以确保信息是来源于他们自己的网站，否则来自其他网站的恶意 代码可能会制造恶意信息，Wysopal补充说。这个功能本身并不是安全的，开发人员已经开始使用不同的DOM(文档对象模型)/浏览器功能来效仿跨域通 讯。

另一个相关问题是，万维网联盟目前为跨源资源共享设计提供了一种使用类似与跨域机制绕过同源政策的方法。

“IE部署的安全功能与Firefox、Chrome以及Safari都不相同，”他指出，“开发人员需要确保他们创建过于宽松访问控制列表的 危害，特别是因为某些参考代码目前非常不安全。