云同步引发的注入攻击

云同步

云同步能够将不同终端设备的数据同步到云平台中,从而使得用户可以在不同设备间获取最新数据。

1

问题

1. 不同平台的程序是否具有同样严格的数据处理手段?
2. 是否可能导致恶意脚本随着数据的同步而引入风险?

实验

选取具有PC端Web端移动端云同步功能的应用。

1. PC端

(1) 从PC端应用注入JS

尝试从PC端导入JavaScript脚本。

2
3

“><img src=# onerror=alert(“arkteam”)>

 

(2) PC端JS执行

浏览导入的单词,JS执行,说明从PC端应用程序成功注入JS

注:PC端包含QTWebKit组件,用来解析HTML。

5
4

 

(3) PC端同步到云

​通过PC端应用程序的“云同步”功能,将导入的单词本,同步到云平台中。

6
7

2. Web端从云同步

使用Firefox浏览器登录云平台,并查看同步数据,注入的JS成功执行。此时,恶意JS被同步到云平台

8
9

 

3. 移动端从云同步

从Android移动端中同步数据后,打开包含JS脚本的单词。

10
11

 

结论

实验表明,某终端应用若存在用户输入数据过滤不严格的情况,可能导致恶意脚本随着数据的同步过程,在不同终端设备的应用中引入注入攻击的风险。

13

风险原因:多源跨平台数据融合。

处理建议:多接口数据进行统一处理。

发表评论

电子邮件地址不会被公开。 必填项已用*标注