Posted in 搞笑幽默,网络安全 我抢沙发

localStorage是html5里的一个概念,可以用于浏览器端的本地存储,以domain区分

twitter的localStorage里的内容可以xss,虽然很鸡肋,但很好玩

如果你让我用了你的电脑,我就可以钓鱼盗你的号,泡你的粉丝了……

如果再有个反射xss配合种localStorage,那就无敌了,只要用户点了你的链接后,就等于种下一个存储型的xss了

而且localStorage的优点是比cookie时间长,普通用户还注销不了

可能是html5的东西刚开始流行,程序员们还没重视,基本对localStorage里的内容不加过滤验证就直接在页面使用了

看了下腾讯微博的,也有类似的问题

html5是好东西,程序员和黑客都喜欢

十月 22, 2011 00:10:17