Si sta iniettando un file dannoso con browser localstorage possibile?

Naviga le tue risposte
0

Diciamo che ho visitato un "malicioussite.com" e che il server aveva un "malicious.js" in esso il cui compito è scrivere codice dannoso sul mio browser localStorage e salvarlo sul mio computer, quindi eseguirlo per infettare il mio computer.
Non penso che sia possibile, ma dopo aver cercato un po 'ho trovato questa pagina  che spiega come scrivere i dati localStorage in un file e salvarlo. Poi ho trovato questa pagina che spiega come eseguire i file bat con javascript. So che nessun browser consentirebbe una tale violazione della sicurezza, ma mi chiedo ancora se questo può accadere.

    
posta LazyHands 27.07.2015 - 16:15
fonte

1 risposta

2

Non è standardizzato il modo in cui un browser Web salva i dati che viene richiesto di archiviare in localstorage. Ma è molto improbabile che venga implementato in modo che finisca come un file eseguibile valido, e anche quando lo fosse, è improbabile che sia un file che tu o il tuo sistema operativo avreste mai eseguito. Le vulnerabilità di sicurezza nei dettagli di implementazione di browser specifici sono ovviamente sempre possibili, ma lo standard non ne ha di evidenti.

Le due domande StackOverflow che hai trovato sono fuorvianti.

Il primo richiede l'interazione dell'utente per salvare intenzionalmente un file, e quel file potrebbe provenire da qualsiasi luogo, non solo dagli utenti webstorage. Aprire una finestra di download per un file arbitrario usando javascript è conoscenza dello sviluppatore web 101 (è document.location = "http://example.com/malicious_file.exe" quando vuoi sapere) e qualsiasi utente di Internet dovrebbe sapere meglio di salvare ed eseguire file eseguibili casuali che viene richiesto di scaricare.

Il secondo funziona solo su IE e solo quando la pagina HTML viene caricata dal filesystem locale, non da un server web remoto.

    
risposta data 27.07.2015 - 16:46
fonte

Leggi altre domande sui tag

Attacco bestia e test SSL Qualys Qualunque CA nazionale (autorità di certificazione) ha un'API pubblica per verificare le firme digitali? [chiuso]