云同步
云同步能够将不同终端设备的数据同步到云平台中,从而使得用户可以在不同设备间获取最新数据。
问题
1. 不同平台的程序是否具有同样严格的数据处理手段?
2. 是否可能导致恶意脚本随着数据的同步而引入风险?
实验
选取具有PC端、Web端和移动端云同步功能的应用。
1. PC端
(1) 从PC端应用注入JS
尝试从PC端导入JavaScript脚本。
“><img src=# onerror=alert(“arkteam”)>
(2) PC端JS执行
浏览导入的单词,JS执行,说明从PC端应用程序成功注入JS。
注:PC端包含QTWebKit组件,用来解析HTML。
(3) PC端同步到云
通过PC端应用程序的“云同步”功能,将导入的单词本,同步到云平台中。
2. Web端从云同步
使用Firefox浏览器登录云平台,并查看同步数据,注入的JS成功执行。此时,恶意JS被同步到云平台。
3. 移动端从云同步
从Android移动端中同步数据后,打开包含JS脚本的单词。
结论
实验表明,某终端应用若存在用户输入数据过滤不严格的情况,可能导致恶意脚本随着数据的同步过程,在不同终端设备的应用中引入注入攻击的风险。
