| HTML5架構的一個漏洞近日被曝光了。該漏洞允許網站利用垃圾數據對用戶展開轟炸,甚至會在短時間內將硬盤塞 滿,包括多款主流瀏覽器均會受此影響,包括蘋果Safari、谷歌Chrome、微軟IE和Opera等。唯一能夠阻止數據大量加載的是Mozilla的 火狐瀏覽器,該產品的數據存儲上限為5MB。
曝光者阿伯克哈迪杰哈在其博客里指出,像Chrome這樣的32位瀏覽器,會在磁盤被填滿時崩潰。“經過巧妙編碼的網站,可以在訪問者的電腦上無限制地存儲數據”。
該問題的根源在于HTML5存儲本地數據的方式。雖然每個瀏覽器都有不同的存儲參數,但很多都支持用戶自定義限制,且至少會在用戶電腦上存儲2.5MB數據。
測試網站(http://www.filldisk.com/)
由于多數瀏覽器不會計算這種偶然情況,所以二級網站也可以存儲與主網站相同量的數據。通過大批生成這種網站,該漏洞便可向受影響的電腦加載海量數據。
“一些采用高明代碼的網站其實已經取消了用戶電腦對數據存儲的限制。”阿伯克哈迪杰哈已經發布一組代碼來利用該漏洞,并創建了一個名為Filldisk的專用網站來凸顯該漏洞的危害。他已經將此事報告給受影響的瀏覽器開發商,但尚未發現惡意行為的大面積爆發。
編輯:北京信誠IT保姆IT外包部 http:// www.aboverow.cn www.xcit.com.cn |
當前位置:
