17网站一起做网店代发流程,沃尔玛网上商城是正品吗,ui网站建设站评价,电子科技产品东莞网站建设漏洞名称#xff1a;Json hijacking 、Json劫持漏洞、Json注入攻击
漏洞描述#xff1a;
JSON(JavaScript Object Notation) 是一种轻量级的数据交换格式。易于人阅读和编写。同时也易于机器解析和生成#xff0c;这种纯文本的数据交互方式由于可以天然的在浏览器中使用Json hijacking 、Json劫持漏洞、Json注入攻击
漏洞描述
JSON(JavaScript Object Notation) 是一种轻量级的数据交换格式。易于人阅读和编写。同时也易于机器解析和生成这种纯文本的数据交互方式由于可以天然的在浏览器中使用所以随着ajax和web业务的发展得到了广大的发展各种大型网站都开始使用包括YahooGoogleTencentBaidu等等目前各银行都有用这种方式来实现数据交互。但是如果这种交互的方式用来传递敏感的数据并且传输的时候没有做太多安全性控制的话将导致安全漏洞根据敏感信息的不同导致会导致应用遭受不同级别的攻击。 检测条件
1、 已知Web网站应用交互采用json的数据交换或者传输。 检测方法
通过抓包分析应用里的数据交互我们经常可以发现敏感信息泄露的情况发生。通常的方式包括抓取应用的交互查看里面敏感的数据如果在传输的时候没有安全控制就可以发现此类漏洞了。主要的危害是对于一些数据敏感的应用会造成较严重的攻击对于数据不敏感甚至是对第三方公开的应用来说这类问题基本不算是安全问题通过在第三方域使用javascript hijacking的方式我们就可以窃取到敏感数据了。一般的exploit代码形式如下
script function wooyun_callback(a){ alert(a); } /script
script
srchttp://www.xxx.com/userdata.php?callbackwooyun_callback
/script
修复方案:
尽量避免跨域的数据传输对于同域的数据传输使用xmlhttp的方式作为数据获取的方式依赖于javascript在浏览器域里的安全性保护数据。如果是跨域的数据传输必须要对敏感的数据获取做权限认证具体的方式可以包括
1、 referer的来源限制利用前端referer的不可伪造性来保障请求数据的应用来源于可信的地方此种方式力度较稀完全依赖于referer某些情况下如存在xss可能导致被绕过。 2、 token的加入严格来说这种利用javascript hijacking的方式获取数据是CSRF的一种不过较之传统的 CSRF不能获取数据只能提交而言这种方式利用javascript可以获取一些敏感信息而已。如果我们能让攻击者对接口未知就可以实现json hijacking的防御了。利用token对调用者的身份进行认证这种方式对于调用者的身份会要求力度较细但是一旦出现xss也可能导致前端Token的泄露从而导致保护失效。 3、 对于同域的json使用情况下可以在数据的输出头部加入while(1);的方式避免数据被script.
