本文一是在为测试过程中遇到json返回格式时提供测试思路,二是几乎所有国内的资料都混淆了json和jsonp的区别——这是两种技术;以及json和jsonphijacking的区别——这是两个漏洞,这里做个解释。
1、概念
1)什么是json
json(JavaScript Object Notation, JS 对象标记) 是一种轻量级的数据交换格式。JSON最常用的格式是对象的键值对,例如下面这样:
{"firstName": "Jayway","lastName": "0Day"}
2)json hijacking漏洞
json劫持(jsonhijacking)漏洞其实是一个跨域数据窃取漏洞,它通过诱导用户点击恶意文件,重写Array()的构造函数的方法,将敏感的json数据发送攻击者,从而造成敏感信息泄露,所以可以理解为“通过CSRF方式导致的敏感信息泄露”。
举例说明:用户Jayway访问网站https://haacked.com/发出请求:
GET:/demos/secret-info.json返回敏感信息:{"firstName":"Jayway", "lastName": "0Day"}此时,攻击者在他的服务器上放置这样一个html文件: