web渗透测试----16、JSON注入

已于 2022-05-30 14:10:01 修改
阅读量3.3k 收藏 5
点赞数 1
分类专栏: # web安全 网络安全技术 文章标签: JSON注入
于 2021-06-22 14:46:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sycamorelg/article/details/118031296
版权

文章目录

一、JSON简介

1、简介
JSON是一种轻量级的数据交换格式,易于阅读和编写,同时也易于机器解析和生成。它是基于Javascript的一个子集,JSON采用完全独立于语言的文本格式,但是也使用类似于C语言家族的习惯(C、C#、C++、Java、Javascript、Perl、Python等都可以使用JSON),这些特性使JSON成为理想的数据交换语言。
JSON可以将Javascript中的对象转换为字符串,然后在函数、网络之间传递这个字符串。

2、JSON结构
JSON建构于两种结构:
①“名称/值”对的集合。不同的语言中,它被理解为对象(object),纪录(record),结构(struct),字典(dictionary),哈希表(hash table),有键列表(keyed list),或者关联数组 (associative array)。
②值的有序列表。在大部分语言中,它被理解为数组(array)。

例如:下面一段示例使JSON最简单的Key-Value示例(名称-值对,键值对):

{"Username":"xsser"}
{"Username":"xsser","Password":"12345","Email":"1234@st.com"}

当需要表示一组值的时候,JSON不但能够提供高可读性,而且可以减少复杂性。
例如表示一个管理员表,在JSON中,如下:

{"Users":[
	{"Username":"zhangsan","Password":"12345","Email":"12345@st.com"}
	{"Username":"lisi","Password":"123123","Email":"123123@st.com"}
	{"Username":"wangwu","Password":"321321","Email":"321321@st.com"}
]  }

二、JSON注入

JSON注入是指应用程序所解析的JSON数据来源于不可信赖的数据源,程序没有对这些不可信赖的数据进行验证、过滤,如果应用程序使用未经验证的输入构造 JSON,则可以更改 JSON 数据的语义。在相对理想的情况下,攻击者可能会插入无关的元素,导致应用程序在解析 JSON数据时抛出异常。
在JSON中是根据引号(“)、冒号(:)、逗号(,)、花括号({})来区分各字符的意义的。如果向JSON中注入恶意字符,那么JSON将解析失败。
例如:输入的Password值为:admin"1,那么在JSON语句中为:“password”:“admin"1”,为了"password”:“admin"1"成功解析,我们可以把"admin"1"转换为"admin"1”。
JSON注入和XML注入、SQL注入一样,都需要对影响语句的内容进行转义,如双引号、花括号等。

三、JSON注入的防御

1、后台代码对JSON数据进行编码;
2、使用安全的JSON插件防止JSON注入;
3、对JSON数据进行校验和过滤。

七天啊
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
AWVS 14.5(含补丁) For Linux+渗透测试+kali(Linux系统)+AWVS+web漏洞扫描
11-09
dddd,适合渗透测试途中用,适用各种Linux系统,其中包含acunetix_14.5.211115146_x64.sh、install.log、license_info.json、wa_data.dat文件,其中操作方式和大多数教程相似,需要教程可以私信up。AWVS全称是Acunetix Web Vulnerability Scanner,是一款自动化的Web漏洞扫描工具,用于检测Web应用程序的安全漏洞。AWVS可以发现SQL注入、跨站点脚本(XSS)、文件包含、文件上传漏洞、目录遍历漏洞等常见的Web漏洞,帮助企业发现和修复安全漏洞,保护Web应用程序的安全性。AWVS的历史可以追溯到2005年,当时Acunetix公司推出了第一个版本的AWVS。AWVS是一款功能强大、易于使用和高度可定制的Web漏洞扫描工具,已经成为Web应用程序安全测试领域的标准之一。在今天的互联网时代,AWVS的重要性和价值不断提升,为企业的Web安全保驾护航。AWVS还获得了多个安全行业的认证和奖项。例如,AWVS获得了PCI DSS 3.2认证,证明了它可以帮助企业达到PCI DSS的安全标准。
JSON注入与CSRF漏洞原理与复现
gental_z的博客
12-14 1660
JSON注入与CSRF漏洞原理与复现 1、 JSON(JavaScript Object Notation)JavaScript对象表示法 2、 它是一种数据格式,而不是一种编程语言 3、 JSON的语法: 有三种类型的值:简单值,对象,数组; 关于JSON的写法: 表示对象(使用JS的对象字面量书写): { “name”:”John”, “age”:40 } (属性名必须使用双引号,末尾没有分号...
JSON类型注入
最新发布
2201_75766364的博客
03-29 1121
JSON 是存储和交换文本信息的语法,是轻量级的文本数据交换格式。类似xml,但JSON 比 XML 更小、 更快,更易解析,主要是用来代替XML的。所以现在接口数据传输都采用json方式进行。JSON 文本的 MIME 类型是 "application/json"。
Penetration Testing Kit-crx插件
03-09
渗透测试套件 渗透测试套件的功能:1)仪表板-借助有关客户端/服务器技术(例如Wappalyzer)的信息,我们的PenTestKit扩展可以为您提供相同的信息,甚至更多。 您可以查看请求/响应信息,然后在请求构建器中再次执行它们。 在HTML视图中查看响应,以证明您的XSS攻击成功。 2)请求生成器-需要检查如果发送SQL注入或XSS攻击会发生什么? 只需使用此请求生成器,修改参数,执行请求,然后在您的Chrome浏览器中进行检查即可。 3)Recorder-扩展程序的这一部分对于InsightAppSec或AppSpider Enterprise用户确实非常有用。 您可以在此处记录宏并在需要时对其进行修改,然后复制或下载记录的宏,然后直接上传到InsightAppSec或AppSpider Enterprise。 您还可以记录流量并将其导出为HAR文件,并用于AppSec产品中的流量验证。 从版本#2.2.0开始,支持宏重放功能。 4)OWASP安全标头-检查您的Web应用程序是否遵循OWASP的建议以获取标头,例如X-XSS-Protection或X-Content-Type-Options。 5)Swagger实用程序可让您查看swagger文件中的所有端点-json或yaml。 6)AppSpider Pro报告从#2.2.0开始验证功能是否受支持 支持语言:English (UK)
jwt_tool:用于测试,调整和破解JSON Web令牌的工具包
04-29
JSON Web令牌工具包v2 jwt_tool.py是用于验证,伪造,扫描和篡改JWT(JSON Web令牌)的工具包。 其功能包括: 检查令牌的有效性 测试已知漏洞: (CVE-2015-2951) alg = none签名绕过漏洞 (CVE-2016-10555) RS / HS256公钥不匹配漏洞 (CVE-2018-0114)密钥注入漏洞 (CVE-2019-20933 / CVE-2020-28637)空白密码漏洞 (CVE-2020-28042)空签名漏洞 扫描配置错误或已知漏洞 模糊声明值以引发意外行为 测试机密/密钥文件/公共密钥/ JWKS密钥的有效性 通过高速字典攻击识别弱键 伪造新的令牌头和有效载荷内容,并使用密钥或通过其他攻击方法创建新的签名 时间戳篡改 RSA和ECDSA密钥生成和重建(来自JWKS文件) ...还有更多! 观众 该工具是为渗透测试人员
超全的Web渗透自我学习资料合集(64篇).zip
09-30
超全的Web渗透学习资料合集,共64篇。 web渗透: web安全原则 web渗透: web渗透测试清单 web渗透: 自动化漏洞扫描 web渗透: Google Hacking web渗透: web服务器指纹识别 web渗透: 枚举web服务器应用 web渗透: 识别web应用框架 web渗透: 配置管理测试 web渗透: 身份管理测试 web渗透: 不安全的HTTP方法 web渗透: 登录认证安全测试 web渗透: 浏览器缓存攻击测试 web渗透: 目录遍历文件包含测试 web渗透: 目录浏览漏洞测试 web渗透: 越权漏洞 web渗透: 任意文件下载 web渗透: 跨站请求伪造(CSRF) web渗透: 服务端请求伪造攻击(SSRF) web渗透: 跨站脚本攻击(XSS) web渗透: HTTP Host头攻击 web渗透: SQL注入(上) web渗透: SQL注入(下) web渗透: XML注入攻击 web渗透: XXE外部实体注入 web渗透: 服务器端包含注入(SSI注入web渗透: XPath注入 web渗透: 命令注入 web渗透: HTTP响应头拆分漏洞 web渗透: LDAP注入 web渗透: ORM注入 web渗透: Json劫持Json注入 web渗透: 宽字节注入 web渗透: 脆弱的通信加密算法 web渗透: Padding Oracle攻击 web渗透: 未加密信道发送敏感数据 web渗透: 业务逻辑数据验证 web渗透: 伪造请求 web渗透: 验证码功能缺陷 web渗透: 竞争并发漏洞 web渗透: IMAPSMTP注入 web渗透: 本地文件包含远程文件包含 web渗透: 文件上传漏洞 web渗透: web服务器控制台地址泄漏 web渗透: 报错信息测试 web渗透: 不安全的对象引用 web渗透: 基于DOM的XSS跨站 web渗透: 堆栈轨迹测试 web渗透: 常见的数据信息泄露 web渗透: web消息漏洞 web渗透: WebSockets安全测试 web渗透: 异常信息泄漏 web渗透: 防御应用程序滥用 web渗透: 客户端资源处理漏洞 web渗透: HTML注入 web渗透: Flash跨域访问漏洞 web渗透: 客户端URL重定向 web渗透: DNS域传送漏洞 web渗透: 服务器多余端口开放 web渗透: 本地存储安全 web渗透: web服务器解析漏洞 web渗透: JavaScript注入漏洞 web渗透: CSS注入 web渗透: 会话固化漏洞 web渗透: 常见的WAF绕过方法
web安全--JSON 注入
fabao007的专栏
05-02 4635
1、JSON 注入 JSON注入是指应用程序所解析的JSON数据来源于不可信赖的数据源,程序没有对这些不可信赖的数据进行验证、过滤,如果应用程序使用未经验证的输入构造 JSON,则可以更改 JSON 数据的语义。在相对理想的情况下,攻击者可能会插入无关的元素,导致应用程序在解析 JSON数据时抛出异常。本文以JAVA语言源代码为例,分析“JSON注入漏洞产生的原因以及修复方法。该漏洞的详细介绍...
应用安全系列之六:JSON注入
jimmyleeee的专栏
02-28 2289
本系列文章主旨在于介绍一些漏洞类型产生的基本原理,探索最基础的解决问题的措施,不排除有些语言或者系统提供的安全的API可以更好地更直接地解决问题,也不排除可以严格地输入验证来解决。 如果有不妥之处,希望可以留言指出。谢谢! ...
【32】WEB安全学习----Json注入
尚未佩妥剑 转眼便江湖
10-04 1万+
一、Json简介 JSON 是存储和交换文本信息的语法,是轻量级的文本数据交换格式。类似xml,但JSON 比 XML 更小、更快,更易解析。所以现在接口数据传输都采用json方式进行。JSON 文本的 MIME 类型是 "application/json"。 json语法 数据在名称/值对中 数据由逗号分隔 大括号保存对象 中括号保存数组 JSONJSON 值可以是: 数字...
基于JSON的SQL注入攻击触发需要更新Web应用程序防火墙
网络研究观
12-13 9086
安全研究人员开发了一种通用的 SQL 注入技术,可以绕过多个 Web 应用程序防火墙 (WAF)。问题的核心是 WAF 供应商未能在 SQL 语句中添加对 JSON 的支持,从而使潜在的攻击者可以轻松隐藏其恶意负载。
web渗透--32--Json劫持/Json注入
武天旭的博客
09-16 6223
1、漏洞描述: JSON(JavaScript Object Notation)是一种轻量级的数据交换格式。易于人阅读和编写。同时也易于机器解析和生成,这种纯文本的数据交互方式由于可以天然的在浏览器中使用,所以随着ajax和web业务的发展得到了广大的发展,各种大型网站都开始使用,包括Yahoo,Google,Tencent,Baidu等等,目前各银行都有用这种方式来实现数据交互。但是如果这种交...
web渗透系列教学下载共64份.zip
12-30
web渗透系列教学下载共64份: 内容如下; web渗透--1--web安全原则.pdf web渗透--10--不安全的HTTP方法.pdf web渗透--11--登录认证安全测试.pdf web渗透--12--浏览器缓存攻击测试.pdf web渗透--13--目录遍历文件包含测试.pdf web渗透--14--目录浏览漏洞测试.pdf web渗透--15--越权漏洞.pdf web渗透--16--任意文件下载.pdf web渗透--17--跨站请求伪造(CSRF).pdf web渗透--18--服务端请求伪造攻击(SSRF).pdf web渗透--19--跨站脚本攻击(XSS).pdf web渗透--2--web渗透测试清单.pdf web渗透--20--HTTP Host头攻击.pdf web渗透--21--SQL注入(上).pdf web渗透--22--SQL注入(下).pdf web渗透--23--XML注入攻击.pdf web渗透--24--XXE外部实体注入.pdf web渗透--25--服务器端包含注入(SSI注入).pdf web渗透--26--XPath注入.pdf web渗透--27--命令注入.pdf web渗透--28--HTTP响应头拆分漏洞.pdf web渗透--29--LDAP注入.pdf web渗透--3--自动化漏洞扫描.pdf web渗透--30--ORM注入.pdf web渗透--31--Json劫持Json注入.pdf web渗透--32--宽字节注入.pdf web渗透--33--脆弱的通信加密算法.pdf web渗透--34--Padding Oracle攻击.pdf web渗透--35--未加密信道发送敏感数据.pdf web渗透--36--业务逻辑数据验证.pdf web渗透--37--伪造请求.pdf web渗透--38--验证码功能缺陷.pdf web渗透--39--竞争并发漏洞.pdf web渗透--4--Google Hacking.pdf web渗透--40--IMAPSMTP注入.pdf web渗透--41--本地文件包含远程文件包含.pdf web渗透--42--文件上传漏洞.pdf web渗透--43--web服务器控制台地址泄漏.pdf web渗透--44--报错信息测试.pdf web渗透--45--不安全的对象引用.pdf web渗透--46--基于DOM的XSS跨站.pdf web渗透--47--堆栈轨迹测试.pdf web渗透--48--常见的数据信息泄露.pdf web渗透--49--web消息漏洞.pdf web渗透--5--web服务器指纹识别.pdf web渗透--50--WebSockets安全测试.pdf web渗透--51--异常信息泄漏.pdf web渗透--52--防御应用程序滥用.pdf web渗透--53--客户端资源处理漏洞.pdf web渗透--54--HTML注入.pdf web渗透--55--Flash跨域访问漏洞.pdf web渗透--56--客户端URL重定向.pdf web渗透--57--DNS域传送漏洞.pdf web渗透--58--服务器多余端口开放.pdf web渗透--59--本地存储安全.pdf web渗透--6--枚举web服务器应用.pdf web渗透--60--web服务器解析漏洞.pdf web渗透--61--JavaScript注入漏洞.pdf web渗透--62--CSS注入.pdf web渗透--63--会话固化漏洞.pdf web渗透--64--常见的WAF绕过方法.pdf web渗透--7--识别web应用框架.pdf web渗透--8--配置管理测试.pdf web渗透--9--身份管理测试.pdf
Json注入
weixin_50464560的博客
08-08 1518
一、Json简介 JSON 是存储和交换文本信息的语法,是轻量级的文本数据交换格式。类似xml,但JSON 比 XML 更小、更快,更易解析。所以现在接口数据传输都采用json方式进行。JSON 文本的 MIME 类型是 "application/json"。 json语法 数据在名称/值对中数据由逗号分隔大括号保存对象中括号保存数组 JSONJSON 值可以是: 数字(整数或浮点...
漏洞利用】JSONP跨域请求漏洞 挖掘、利用详解
weixin_44023442的博客
03-13 2885
参考文章 轻松搞定JSONP跨域请求 jsonp跨域原理,使用以及同源策略 跨域漏洞JSONP和CORS跨域资源共享 Tag: Ref: [[019.同源策略]] 本片文章仅供学习使用,切勿触犯法律! 未写完,待补充 概述 总结 一、漏洞介绍 JSONP介绍 JSONP 是 JSON with padding(填充式 JSON 或参数式 JSON)的简写。 JSONP是一种利用HTML中<script></script>元素标签,远程调用json文件来实现数据传递的技术,
https防止注入_【缺陷周话】第40期:JSON 注入
weixin_39861955的博客
11-20 327
聚焦源代码安全,网罗国内外最新资讯!*声明:《缺陷周话》栏目系列文章由奇安信代码卫士团队原创出品。未经许可,禁止转载。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。代码审计是使用静态分析发现源代码中安全缺陷的方法,辅助开发或测试人员在软件上线前较为全面地了解安全问题,防患于未然,因此一直以来都是学术界和产业界研究的热点,并已成为安全开发生命周期SDL 和DevS...
Spring过滤json中的XSS
学医救不了中国人
10-24 6353
spring处理json是通过MappingJackson2HttpMessageConverter实现的。 而MappingJackson2HttpMessageConverter中的read()和writeInternal()分别对应json的请求和响应。 也就是说我们的过滤工作就这两个方法中展开。 writeInternal首先创建一个类并继承MappingJackson2HttpMessa...
JSONObject.parseObject和JSONObject.fromObject
热门推荐
beidaol的专栏
12-30 1万+
参考:https://blog.csdn.net/qq635785620/article/details/10436789 https://blog.csdn.net/qq_40206864/article/details/82997458 说明 com.alibaba.fastjson.JSONObject是经常会用到的JSON工具包,同样它的转换方法也会经常被我们使用,包括对象转成JS...
java json injection_【缺陷周话】第40期:JSON 注入
weixin_31899235的博客
02-24 943
1、JSON 注入JSON注入是指应用程序所解析的JSON数据来源于不可信赖的数据源,程序没有对这些不可信赖的数据进行验证、过滤,如果应用程序使用未经验证的输入构造 JSON,则可以更改 JSON 数据的语义。在相对理想的情况下,攻击者可能会插入无关的元素,导致应用程序在解析 JSON数据时抛出异常。本文以JAVA语言源代码为例,分析“JSON注入漏洞产生的原因以及修复方法。该漏洞的详细介绍请参...
sql 截取json数据_Web安全:JSON注入漏洞
weixin_39888943的博客
12-06 245
一次性付费进群,长期免费索取资料。进微信群回复公众号:微信群;QQ群:460500587教程列表见微信公众号底部菜单 |本文底部有推荐书籍微信公众号:计算机与网络安全ID:Computer-networkJSON是一种轻量级的数据交换方式,也是一种基于文本的数据交换方式。JSON也是一种数据结构,类似于txt、Excel及XML等文本。无论是前端语言中的JavaScript还是...
perl-JSON-PP
06-12
perl-JSON-PP 是一个 Perl 语言的软件包,它提供了一组用于处理 JSON 数据的工具。JSON 是一种轻量级的数据交换格式,在 Web 应用程序中广泛使用。使用 perl-JSON-PP 可以方便地在 Perl 程序中进行 JSON 数据的解析和生成操作,以便于实现一些需要进行数据处理的应用程序。 perl-JSON-PP 提供了一组用于处理 JSON 数据的函数和接口,以便于 Perl 程序更加方便地进行 JSON 数据的操作。perl-JSON-PP 支持 JSON 数据的解析和生成,开发者可以根据实际的需求选择不同的操作来实现需要的应用程序。 使用 perl-JSON-PP 可以帮助开发者更加高效地进行 JSON 数据的处理,以便于实现一些需要进行数据处理的复杂任务。需要注意的是,perl-JSON-PP 的使用需要一定的 Perl 编程经验和技能,同时还需要对 JSON 数据格式和相关的数据处理知识有一定的了解。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

七天啊

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值