| HTML5架構(gòu)的一個漏洞近日被曝光了。該漏洞允許網(wǎng)站利用垃圾數(shù)據(jù)對用戶展開轟炸,甚至?xí)诙虝r間內(nèi)將硬盤塞 滿,包括多款主流瀏覽器均會受此影響,包括蘋果Safari、谷歌Chrome、微軟IE和Opera等。唯一能夠阻止數(shù)據(jù)大量加載的是Mozilla的 火狐瀏覽器,該產(chǎn)品的數(shù)據(jù)存儲上限為5MB。
曝光者阿伯克哈迪杰哈在其博客里指出,像Chrome這樣的32位瀏覽器,會在磁盤被填滿時崩潰。“經(jīng)過巧妙編碼的網(wǎng)站,可以在訪問者的電腦上無限制地存儲數(shù)據(jù)”。
該問題的根源在于HTML5存儲本地數(shù)據(jù)的方式。雖然每個瀏覽器都有不同的存儲參數(shù),但很多都支持用戶自定義限制,且至少會在用戶電腦上存儲2.5MB數(shù)據(jù)。
測試網(wǎng)站(http://www.filldisk.com/)
由于多數(shù)瀏覽器不會計算這種偶然情況,所以二級網(wǎng)站也可以存儲與主網(wǎng)站相同量的數(shù)據(jù)。通過大批生成這種網(wǎng)站,該漏洞便可向受影響的電腦加載海量數(shù)據(jù)。
“一些采用高明代碼的網(wǎng)站其實已經(jīng)取消了用戶電腦對數(shù)據(jù)存儲的限制。”阿伯克哈迪杰哈已經(jīng)發(fā)布一組代碼來利用該漏洞,并創(chuàng)建了一個名為Filldisk的專用網(wǎng)站來凸顯該漏洞的危害。他已經(jīng)將此事報告給受影響的瀏覽器開發(fā)商,但尚未發(fā)現(xiàn)惡意行為的大面積爆發(fā)。
編輯:北京信誠IT保姆IT外包部 http:// www.uq7scb3a.cn www.xcit.com.cn |
當(dāng)前位置:
