LocalStorage漏洞分析

之前LocalStorage爆出过一个漏洞，使用Chrome打开这个网站：http://filldisk.com，会将磁盘空间给撑爆，而且Chrome还会Crash。除了FireFox之外，其他浏览器无一例外中招。以下分析一下这个网站所使用的这个漏洞。

其实这个漏洞的作者在他的博客中也做了详细的说明了，想了解的可以看这里：http://feross.org/fill-disk/

规范（http://www.w3.org/TR/webstorage/#disk-space）里面对于磁盘空间的控制有这样的声明：

1. User agents should limit the total amount of space allowed for storage areas.

而每个浏览器也做了相应的限制：

1. 2.5 MB per origin in Google Chrome
2. 5 MB per origin in Mozilla Firefox and Opera
3. 10 MB per origin in Internet Explorer
4. 5 MB per origin in Safari

对于Chrome，应该实际的容量限制是5 MB per origin，而Safari是用的WebKit内核，WebKit默认是5 MB per origin。

这个漏洞的出现是因为规范里面的另一条声明：

1. User agents should guard against sites storing data under the origins other
2. affiliated sites, e.g. storing up to the limit in a1.example.com, a2.example.com,
3. a3.example.com, etc, circumventing the main example.com storage limit.

这里说到，浏览器应该去做这样的限制：去限制子域名的存储限制，否则主域名的存储限制等同于虚设。

那么问题就来了，很多浏览器都没有对这条进行限制，所以就导致了这个漏洞的出现。http://filldisk.com就是利用了这一点，将用户的磁盘空间迅速填满。

WebKit对每个域名都提供了一个数据库存储LocalStorage的数据，每个数据库的大小都是5MB，估计这样做的原因是可以比较有效的阻止跨域访问。这里的域名不分主域名和子域名，也就是说不管是主域名还是子域名都会各自有个5MB大小的数据库提供读写LocalStorage的数据。而WebKit只限制每个数据库的大小，没有限制总容量的大小，所以就中招了。http://filldisk.com的实现就是通过不断的创建子域名，然后将该子域名的LocalStorage容量写满，因为WebKit没有总容量的限制，那么就像下图一样，一直创建数据库，直到磁盘空间被撑爆为止：

FireFox没有这个问题的原因是非常严格和完整的实现了上述规范里面说到的，下图是FireFox的实现方式：

每个顶级域名共享一个数据库，而这个数据库的大小为5MB，所以不管创建多少个子域名，能占用的总容量只能是5MB。因此，FireFox对这个漏洞完全免疫了。另外，有个问题就是，不太清楚FireFox是怎么保证跨域访问的问题。

接着360就发布了一个新版本，号称第一个修复漏洞的浏览器，看了下360没有按照FireFox的实现方式修改，没有去动WebKit的原生逻辑，只是在外层做了个简单的容量限制，就是限制每个顶级域名所可以的LocalStorage总容量，比如，filldisk.com这个域名总共可用500MB的容量，当然这个值应该是动态修改的吧。那么当这个容量被写满之后，这个顶级域名下的所有域名就不可以再使用LocalStorage的功能了，因为容量已满，而且也没有进行数据淘汰。

虽然360修复了漏洞，但是http://filldisk.com这个网站的设计比较奇怪，好像是专门针对FireFox而写的。尽管360在总容量上做了限制，但是网页上显示的占用容量的数字还是会不断的飙升。因为这个网页的设计是这样的：www.filldisk.com这个域名的LocalStorage用来保存创建了多少个域名，显示的占用容量大小是以5MB乘以这个数据的。虽然后面没有数据库创建了，容量没有增加了，但是子域名还是在不断的创建，那么页面上显示的占用容量还是会不断的增加。即使是解决了容量撑爆的问题，不过小白一看，对比FireFox，这不是没还解决吗，哈哈哈。