13.5 本地隐私攻击

许多用户从共享的环境中访问Web应用程序,这时,攻击者可直接访问用户访问的同一台计算机。在这种情况下,如果应用程序存在漏洞,它们的用户就易于受到一系列攻击。这类攻击主要针对以下领域。

img001  注解  应用程序可能会采用各种机制在用户的计算机上存储敏感信息。许多时候,为测试应用程序是否采用了某种存储机制,最好是使用完全“干净”的浏览器,以便于接受测试的应用程序存储的数据不会丢失在已存储的现有数据中。要做到这一点,最理想的方法,是使用包含全新安装的操作系统和任何浏览器的虚拟机。

此外,在某些操作系统上,在使用文件系统内置的管理器时,包含本地存储数据的文件和文件夹在默认情况下可能处于隐藏状态。为确保标识所有相关数据,应将计算机配置为显示所有隐藏文件和操作系统文件。

13.5.1 持久性cookie

一些应用程序将敏感数据保存在持久性cookie中,大多数浏览器将该cookie存放在本地文件系统上。