webworker攻击有哪些方式?怎么预防webworker攻击
一、WebWorker介绍
由于Javascript是单线程执行的,在执行过程中浏览器不能执行其它Javascript脚本,UI渲染线程也会被挂起,从而导致浏览器进入僵死状态。使用WebWorker可以将计算过程放入一个新线程里去执行将避免这种情况的出现。这样我们可以同时执行多个JS任务而不会阻塞浏览器,非常适合异步交互和大规模计算,这在以前是很难做到的。
下面一张图形象的揭示了WebWorker的作用:没有WebWorker时,如果我们要煎一个鸡蛋饼,需要先和面粉,然后打鸡蛋,最后才能煎饼;使用WebWorker,可以在和面粉的同时打鸡蛋,这两者同时进行,都完成后就能开始煎饼,极大的缩短了等待的时间。
但是这样一个好的特性也会引入攻击的可能。
二、WebWorker攻击
1、Botnet
攻击的方式包括DDos攻击、发送垃圾邮件,用户一旦访问恶意页面或者网站时,页面的恶意代码就能把用户的浏览器当作肉鸡,利用WebWorker大规模执行多线程攻击,例如DDos攻击、发送垃圾邮件或者进行网络嗅探。
DDOS攻击(分布式拒绝服务攻击)
2、postMessage带来的问题
WebWorker无法访问DOM,只能通过postMessageAPI和主线程通信。postMessage在HTML5中被引入,用来解决跨域或者跨线程数据交互的问题。但是如果messaging可以接收任何来源的信息,此页面有可能会被攻击;另外postMessage不通过服务器,如果不经过验证和过滤,可能成为XSS注入点。例如如下代码没有对输入数据进行验证和清洗,攻击者完全可以构造恶意的data来注入页面DOM,构造XSS攻击,形如“>
”等等。
三、攻击工具
Ravan是一个JS的分布式计算系统,可以用HTML5Web Worker通过后台加密的JS多线程脚本来执行蛮力攻击。
四、预防之道
1、对于用户来说,不要访问不安全的站点。
2、使用postMessage时需要验证来源可信;另外不要使用innerHTML,现代浏览器提供了textContent属性,可以帮助对HTML标签进行过滤,或者你可以自行编写过滤的逻辑和函数。
以上就是关于Web Worker攻击的详细介绍,希望对大家的学习有所帮助。
手机炸弹是什么?手机炸弹程序是怎样的?
下载一个手机炸弹软件随便输入一个手机号码然后选择次数之类的利用WSockExpert_Cn exe监听手机炸弹得出http: sms 98960 com pages user-newlogin asp?number=13088170991原来手机炸弹只不过是一个URL循环提交的
详情2018-01-09 16:51:51责编:llp 来源:驱动管家如何防范sql注入攻击?如何设置访问控制?
不知道大家知不知道其实web应用也是非常脆弱的,所以对于web攻击也是非常简单的,下面小编就为大家介绍如何正确的防范web攻击。SQL注入攻击SQL注入攻击,这个是最常聊到的话题,使用过Java的开发人员,第一个反应
详情2018-02-05 14:35:19责编:llp 来源:驱动管家流氓软件怎么篡改ie浏览器主页?
这说明这个流氓软件在注册表里还有别的窠,这些可能位置都有哪些呢?笔者根据有限经验,先列出最重要的这几条,期待网友们补充更多的发现。点击开始-运行-输入regedit回车,依次找到如下位置——当然,笔者推荐
详情2018-01-14 09:53:14责编:llp 来源:驱动管家shell脚本怎么监控mysol服务器?shell脚本监控mysol服务器的步骤
监控MySQL服务是否正常,通常的思路为:检查3306端口是否启动,ps查看mysqld进程是否启动,命令行登录mysql执行语句返回结果,php或jsp程序检测(需要开发人员开发程序)等等;方法1:监听3306端口方法2:查看mys
详情2018-01-05 11:04:57责编:llp 来源:驱动管家个人博客系统bo-blog的绝对路径暴露哪些问题?
bo-blog是一款外观好看,而且当前流行的个人博客系统,在很多下载站你都可以找到这套程序,而且甚至有很多安全界的人都使用着这套php+txt的程序,但是这套程序里有些安全隐患,可能会被人利用去做一些破坏。首先
详情2018-01-25 19:01:16责编:llp 来源:驱动管家quicktime player的溢出程序导致严重的安全隐患
仅仅在 Apple 升级播放器堵上九个严重安全漏洞之后的一个星期,一个暂无补丁的 Applequicktime player缺陷就于星期二被发布在 milw0rm com 网站上。该溢出程序利用了quicktime player处理 “” 参数时未
详情2018-01-28 09:57:35责编:llp 来源:驱动管家怎么让u盘代替windows系统的密码?
【赛迪网-IT技术报道】U盘 如今可以说非常普及了,不过,如果只是把它用来存储数据的话,也许有点可惜了。其实,我们还可以让U盘发挥更大的能量!今天小编教你一招,能让你的U盘代 替登录系统的密码,只有当你插上U盘才能正常进入系统操作,否则任何操作都无法进入系统。
详情2018-01-17 20:08:26责编:llp 来源:驱动管家黑暗天使 2.41命令行版有什么新功能?黑暗天使 2.41命令行版怎么用?
黑暗天使 2 41命令行版使用说明相对2 3的改变:1、增加了udp数据报连接方式,使没有独立ip的用户也可以连接到黑暗天使服务器端 2、增加了逆向连接功能(端口反弹)。3、修改安装2 3后本地连接图标消失的问题。4
详情2018-01-28 17:17:59责编:llp 来源:驱动管家sniffer教程 怎么发现和抵御sniffer攻击?
怎样发现 SnifferSniffer最大的危险性就是它很难被发现,在单机情况下发现一个Sniffer还是比较容易的,可以通过查看计算机上当前正在运行的所有程序来实现,当然这不一定可靠。在UNIX系统下可以使用下面的命令:
详情2018-01-29 10:25:39责编:llp 来源:驱动管家密码破解软件dubrute怎么用?讲解爆破3389服务器的方法
DUBrute是一款强大的远程桌面(3389)密码破解软件,你可以用本附件的扫描功能来自动扫描活跃IP地址,扫描完成后设置好用户名与需要猜解的密码就可以开始全自动工作了。只要你密码设置的好相信会有很大的收获哦。33
详情2018-02-03 18:08:50责编:llp 来源:驱动管家
- 软盘驱动器是什么?怎么删除win7系统中的软盘驱动器A
- 天天记事怎样保护用户隐私?天天记事密码在哪儿设置?
- 无法添加打印机是怎么回事?电脑无法添加打印机怎么解决?
- 索尼a350的基本配置和评测结果介绍
- 索尼nex-f3相机不会操作怎么办?索尼nex-f3使用方法
- 历史上又一创举:SpaceX重型猎鹰火箭成功发射
- win7系统的浏览器字体大小设置的步骤详解
- 怎么在win7的电脑中创建虚拟的磁盘分区
- 刷机失败如何解决?刷机失败变砖怎么重新复活?
- 索尼z3什么时候出?索尼z3上市时间已揭晓
- 密码学的几个词汇 php中提供了哪些数据加密功能?
- 126邮箱邮件往来信息在哪儿查看?126邮箱怎么用?
- 360云盘共享群无法打开是怎么回事?360云盘共享群打不开解决办法
- 购买尼康广角镜头那款好?尼康广角镜头介绍
- 索尼xperia平板电脑怎么样?索尼xperia评测结果
- 苹果操作系统在刚使用的时候要了解清楚这些东西
- 在win10系统上轻松设置默认浏览器的方法介绍
- 安卓手机怎么设置gprs上网?安卓手机设置gprs上网的方法是什么?
- 荣耀x2是不是4g手机?有哪几个版本可以选择?
- 三无后门的核心是什么?如何创建三无后门?