title: JSON劫持攻击[汇总]
copyright: true
top: 0
date: 2018-08-14 09:58:52
tags: JSON劫持
categories: 渗透测试
permalink:
password:
keywords:
description: JSON是一种轻量级的数据交换格式,而劫持就是对数据进行窃取。
你感觉到了吗?我的血液是热的,可我的心是冷的
JSON 劫持又为“ JSON Hijacking ”,最开始提出这个概念大概是在 2008 年国外有安全研究人员提到这个 JSONP 带来的风险。其实这个问题属于 CSRF( Cross-site request forgery 跨站请求伪造)攻击范畴。当某网站听过 JSONP 的方式来快域(一般为子域)传递用户认证后的敏感信息时,攻击者可以构造恶意的 JSONP 调用页面,诱导被攻击者访问来达到截取用户敏感信息的目的。
漏洞原理
JSON实际应用的时候会有两种传输数据的方式:
xmlhttp获取数据方式:
{"username":"wooyun","password":"wooyun"}
当在前端获取数据的时候,由于数据获取方