jueves, 26 de abril de 2012

Nuevos vectores de ataque en HTML5

Con la llegada de HTML5 y sus  componentes, nuevas superficies de ataque a aplicaciones web se hacen posibles. Entre las funcionalidades mas destacables que incorpora HTML5 encontramos:

  • Soporte a través de plugins para otras tecnologías como Slirverlight y Flash
  • Nuevos TAGs html para multimedia, forumularios, iframes...
  • Funciones de red  a nivel de capa de trasporte ( websockets
  • XMLHttpRequest (XHR) Level 2, con  nuevas funciones como: peticiones entre dominios (cross-domain access), eventos de progreso y manejo de flujos de bytes (streams)
  • DOM -Level 3 
  • Soporte WebSQL que porporciona acceso a bases de datos a través del navegador
  • Sandboxing y aislamiento de i-frames via compartimentos lógicos dentro del navegador
  • Almacenamiento/Acceso a datos   a través de los objetos localstorage / sessionstorage 
  • Funcionalidades drag & drop 
La potencia de estas funcionalidades abre nuevas vias a vectores de ataque tradicionales y posibilita otras nuevas:

  • Ataques de Cross site a través de controles de XHR
  • Inyecciones DOM y ejecución de scripts
  • Inyecciones vía WebSQL
  • Inyección a través de los nuevos TAGs de HTML5
  • Manipulación de datos almacenados localmente y es sitios externos
  • Explotación DOM3 para ataques de hijacking 
  • Cross Site Request Forgery (CSFR) via XHR
  • Clickjacking via eventos DOM
  • Utilización malintencionada de redes sociales y widgets
Segmentos lógicos en un navegador HMTL5 y superficies de ataque posibles
En definitiva, algo muy a tener en cuenta por profesionales del desarrollo de aplicaciones web y especialistas en seguridad IT

No hay comentarios:

Publicar un comentario