HTML5 安全分析:本地存储在上一篇文章《 HTML5 跨域消息发送安全性分析 》中,我们讨论了在 HTML5 下的跨域消息传递本文将带你去了解另外一个特性——本地存储本地存储本地存储也是 HTML5 的新特性之一,最开始是在 Mozilla 1.5 上的,后来渐渐被 HTML5 规范接受通过 JavaScript 的 localStorage 和 sessionStorage 对象,我们可以使用 HTML5 的这个新特性基于键值值匹配,这些 JavaScript 对象允许我们存储,检索和删除数据在 HTML5 中,本地存储是一个 window 的属性,包括 localStorage 和 sessionStorage,从名字应该可以很清楚的辨认二者的区别,前者是一直存在本地的,后者只是伴随着 session,窗口一旦关闭就没了,二者用法完全相同下面是一个 HTML5 应用程序示例,使用 HTML5 新的本地存储特性,我们可以使用 “Show Data”按钮检索存储在数据库中的数据我们先来看看这个站点的源,假设 http://localhost:8383/为“应用程序 A”,整理一下:Name: Application AOrigin: http://localhost:8383/单击“Show Data”按钮预期结果:我们能够访问应用程序 A 存储在数据库中的数据。
现在尝试通过不同源来访问应用程序 A 存储在数据库中的数据假设这是应用程序 B,下面为详情:Name: Application BOrigin: http://localhost/注意了,应用程序 B 与应用程序 A 端口号不同,属于不同源点击“Show Data”按钮当我点击“Show Data”按钮的时候,明显感觉到网页没有反应,这是因为应用程序不同源为了实验准确,我们再次进行确认我们运行与应用程序 A 同源的应用程序 CName: Application COrigin: http://localhost:8383/点击“Show Data”按钮,观察结果很好,我们能够从应用程序 C 访问到数据,因为它与应用程序 A 同源结论,在上面的几个应用程序中都使用相同的代码,但有些不同源将数据插入应用程序A 的数据库中,由于应用程序 B 与应用程序 A 不同源,所以访问失败而应用程序 C 同源,成功访问接下来,我们来看看 HTML5 本地存储可能遭受的攻击敏感数据存储开发者可能在其数据库中存储敏感数据,很可能被找出 API KEY 或者其他敏感数据如果没有物理访问设备,我们可以使用 XSS 漏洞进行利用。
下面这个例子描述了 localStorage 对象如何存储数据,我们可以使用函数添加键值对作为参数localStorage.setItem(“data”, “mydata”);下图中,我们可以看到 Chrome 将数据存储的路径读取数据localStorage.getItem(“data”);继续从 SQLite 数据库读取这些数据脚本注入没有很好过滤 SQLite 中的数据,可能会导致脚本攻击,下面我们来看一个简单的例子先存储一些数据,然后进行检索 如果这些数据没有被很好的过滤,这可能会导致存储 XSS 漏洞这一次我们在消息框中输入点击“Show Data”按钮,看看结果如我们所见,网页弹出警告框总结本文讨论了 HTML5 本地存储特性是如何工作的,以及同源策略限制是如何应用于数据存储的最后我们对其中可能发生的攻击进行了解,期待下一篇文章吧编辑推荐】揭密 HTML5 带来的攻击手法 架构师需把 HTML5 安全排首位之 HTML5 安全问题集锦 架构师需把 HTML5 安全排首位之新功能带来新攻击 HTML5 游戏重打包变身安卓恶意软件 在 HTML5 移动应用中挖掘 XSS 漏洞。