🔐 Кража конфиденциальных данных пользователей из LocalStorage с помощью XSS
LocalStorage — это особенность HTML5, позволяющая хранить любую информацию в пользовательском браузере благодаря JavaScript. Это старый добрый JS-объект, в который можно добавлять и удалять пары ключ/значение.
Если
Запрос одного ключа:
Делаем полный дамп хранилища:
#web #xss
LocalStorage — это особенность HTML5, позволяющая хранить любую информацию в пользовательском браузере благодаря JavaScript. Это старый добрый JS-объект, в который можно добавлять и удалять пары ключ/значение.
Если
example.com хранит данные в LocalStorage и example.com уязвим к XSS, то этот XSS можно использовать для извлечения конфиденциальных данных пользователей данного сайта (логины, пароли, идентификаторы сессий, данные кредитных карт, JWT (JSON Web Token) и другая информация, которую вы бы не стали размещать публично).Запрос одного ключа:
alert(localStorage.getItem("key"))
Делаем полный дамп хранилища:
alert(JSON.stringify(localStorage))
#web #xss