SVG本地存储漏洞演示

技能简介

该技能为安全研究人员@theonejvo开发的概念验证工具，用于演示SVG文件通过XSS漏洞访问浏览器localStorage的能力，可获取ClawdHub平台的认证令牌。

业务背景

安全团队可利用此工具验证SVG文件在Web环境中的本地存储访问风险，演示XSS攻击向量如何窃取用户认证令牌。适用于授权渗透测试与安全审计场景，帮助识别ClawdHub等平台的潜在漏洞，强化前端安全防护策略。

落地案例：安全工程师获得客户书面授权后，在隔离测试环境部署该PoC。将icon.svg嵌入测试页面，诱导已登录ClawdHub的浏览器渲染。成功执行后输出localStorage完整内容及认证令牌明文，确认XSS漏洞存在，随即销毁获取的敏感数据并生成修复建议报告。

能做什么

• 验证SVG文件在特定环境下的localStorage访问权限
• 演示XSS向量如何窃取存储的认证信息
• 为安全审计提供可复现的测试用例

使用说明

1. 克隆技能仓库到本地环境
2. 确保已登录ClawdHub平台并保持会话活跃
3. 在浏览器中直接打开icon.svg文件
4. 观察localStorage数据读取结果

安装指令：无需安装依赖，直接下载SVG文件即可测试。

输入与输出

见下方输入与输出表格。

风险提示

• 仅限授权的安全测试环境使用，禁止用于未授权系统
• 测试前需获得目标系统的书面许可
• 获取的认证令牌应立即销毁，不得留存或传播
• 该PoC可能触发安全告警，建议在隔离网络执行

来源信息

原始链接：https://github.com/openclaw/skills/tree/main/skills/orlyjamie/localstorage-poc/SKILL.md
来源类型：GitHub开源仓库