HTML5浏览器漏洞,用户硬盘或被垃圾数据塞满

日前,22岁的斯坦福大学的Web开发人员Feross Aboukhadijeh发现HTML5浏览器中的一个漏洞,这个漏洞能够影响到当今的众多主流浏览器,比如苹果的 Safari、微软的 IE、谷歌的 Chrome 以及 Opera 等,Mozilla 的 Firefox 则成为唯一“幸存者”。

常规来说,网站如果要在客户端种cookie的话,一般在5-10KB左右,但是HTML5的存储机制允许网站存储大量的数据,如5-10MB。

Feross Aboukhadijeh发现了一个绕过数据上限的方法,它创建了多个与用户访问过的网站链接的临时网站。由于多数浏览器不会计算这种偶然情况,所以二级网站也可以存储与主网站相同量的数据。通过大批生成这种网站,该漏洞便可向受影响的电脑加载海量数据。

在测试这一漏洞的过程中,Feross Aboukhadijeh每16秒即可向他的固态硬盘版MacBook Pro中加载1GB数据。他指出,Chrome等32位浏览器可能会在硬盘塞满前崩溃。

Feross Aboukhadijeh创建了FillDisk.com网站,当用户访问该网站时,将会向客户端写入大量的垃圾数据。

源代码地址

视频演示如下:




评论 (0)