JSONP劫持

最新推荐文章于 2024-04-01 09:55:17 发布
最新推荐文章于 2024-04-01 09:55:17 发布
阅读量1.8k 收藏 9
点赞数
分类专栏: Web安全 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41603028/article/details/119990437
版权

文章目录


JSONP劫持

概述

引入:因为浏览器为了防止个人信息暴露(cookie等),对浏览器设置了同源策略,这个时候,从不同的域(网站)访问数据需要一个特殊的技术(跨域请求),JSONP应用而生。

JSONP( JSON with Padding)是json的一种“使用模式”,可以让网页从别的域名(网站)那获取资料,即跨域读取数据。

这样就很容易理解,JSONP劫持,就是攻击者attacker通过构造设计一个网站evil(网站中包含其他网站的JSONP漏洞利用代码,具体为回调函数和script标签)请求用户已注册并登录的网站victim(含有JSONP漏洞,该网站对来自网站evil的请求没有进行安全检查直接返回数据)将数据通过alert弹窗等方式返回到网站victim并显示用户在网站victim的注册信息。

总结:JSONP劫持就是利用scirpt标签的src属性实现跨域请求,获取网站数据的过程。

相关劫持

DNS劫持:指攻击者利用其他攻击手段,篡改了某个域名的解析结果,使得指向该域名的IP变成了另一个IP,导致对相应网址的访问被劫持到另一个不可达的或者假冒的网址,从而实现非法窃取用户信息或者破坏正常网络服务的目的。

点击劫持:clickjacking,攻击者使用一个或多个透明的 iframe 覆盖在一个正常的网页上,然后诱使用户在该网页上进行操作,当用户在不知情的情况下点击透明的 iframe 页面时,用户的操作已经被劫持到攻击者事先设计好的恶意按钮或链接上。

攻击者既可以通过点击劫持设计一个独立的恶意网站,执行钓鱼攻击等;也可以与 XSS 和 CSRF 攻击相结合,突破传统的防御措施,提升漏洞的危害程度。

相关安全事件: Facebook ‘likejacking’ 骗局攻击、Adobe Flash Player 网站漏洞利用、Twitter 的 Don’t click 攻击等,都利用了点击劫持技术。

防御:

服务器端防御—X-FRAME-IPTIONS机制,X-Frame-Options 有三个可选的值:

DENY:浏览器拒绝当前页面加载任何Frame页面;
SAMEORIGIN:Frame页面的地址只能为同源域名下的页面;
ALLOW-FROM:允许frame加载的页面地址。

客户端防御----NoScirpt拓展,利用 NoScript 中 ClearClick 组件能够检测和警告潜在的点击劫持攻击,自动检测页面中可能不安全的页面。

 <iframe src="http://www.evil.com/" width="1000" height="1000" scrolling="no"></iframe>

crolling=“no” : 从不显示滚动条(即使需要)

cookie劫持:获取用户的cookie,通过cookie登录,进一步伪造身份。

<script>alert(doucument.cookie)</script>

JSONP漏洞的利用过程

在这里插入图片描述
目标:获取victim在网站B的敏感信息,比如id,name,email等信息。
前提条件:注册并登录+无安全检查
victim在网站B注册并登录
网站B对来自网站A的JSONP请求没有进行安全检查就直接返回数据

过程:

  1. victim通过浏览器向网站A(恶意构造的网站)发出请求(可以通过邮箱等点击劫持或则DNS劫持让victim进行请求)
  2. 网站A向vitcim返回响应页面,响应页面中包含了JavaScript的回调函数和向网站B请求的script标签,示例代码如下:
    在这里插入图片描述
  3. 用户收到响应,解析JS代码,将回调函数作为参数向网站B发出请求并将回调函数作为参数请求:这里的回调函数为:Callback(),功能是以alert弹窗形式显示用户在网站B的相关注册信息。参数请求是jsonp=Callback,这里的参数和回调函数名一致。
  4. 返回包含用户信息的JSON数据。网站B接收到请求(src="http://B.com/user?jsonp=Callback")后,解析请求的URL,以 JSON 格式生成请求需要的数据,将封装的包含用户信息的JSON数据作为回调函数的参数返回给浏览器,网站B返回的数据实例如下:
Callback({"id":1,"name":"test","email":"test@test.com"})
  1. **网站B弹窗或者向网站A上传用户信息数据。**网站B数据返回后,浏览器则自动执行Callback函数对步骤4返回的JSON格式数据进行处理,通过alert弹窗展示了用户在网站B的注册信息。另外也可将JSON数据回传到网站A的服务器,这样网站A利用网站B的JSONP漏洞便获取到了用户在网站B注册的信息。

JSONP跨域请求的一个例子,前端和后端代码样例,实现一个弹窗功能。
在这里插入图片描述

JSONP漏洞的危害

JSONP属于敏感信息泄露型的漏洞。受害者通过访问evil网站获取受害者的个人信息,如邮箱,姓名,手机等信息,通过这些信息可以进一步实施诈骗行为。

other

  1. token 是网站给每一次 HTTP 连接分配的随机数,用来标识不同的用户身份。
  2. Twitter 蠕虫攻击就是利用点击劫持漏洞来实现CSRF攻击。
  3. 通过 Clickjacking 漏洞,反射型 XSS 可以转化为存储型 XSS 漏洞,只要用户点击触发此漏洞,就可以在用户浏览器上执行任意的JavaScript 代码
  4. 既然是窃取敏感信息,那么敏感信息除了一些 email 手机号 用户名等还有什么呢?没错,甚至可以是 CSRF Token 信息,有时候在 CSRF token 获取不到但是又找不到 XSS 的攻击点的时候不妨考虑一下 jsonp 劫持。
  5. JSONP攻击方式有点类似于CSRF攻击。
  6. 没有跨域限制的标签:link,img,script,iframe。

参考资料

jiet07
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解JSON和JSONP劫持以及解决方法
10-17
主要介绍了详解JSON和JSONP劫持以及解决方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SRC挖掘经验-cors劫持账户.docx
04-13
* 使用 JSONP:攻击者可以使用 JSONP(JSON with Padding)来绕过 CORS 机制。 CORS 漏洞挖掘是一种复杂的攻击方式,需要攻击者具备深入了解 CORS 机制和 Web 开发知识。同时,开发者也需要了解 CORS 机制的安全...
jsonp劫持
m0_51553670的博客
07-29 1501
JSON指的是JavaScript对象表示法( JavaScript Object Notation)JSON是轻量级的文本数据交换格式JSON是存储和交换文本信息的语法,类似XML但JSON比XML更小、更快、更易解析C、Python、C++、Java、PHP、Go等编程语言都支持JSON几乎所有编程语言都有解析JSON的库,而在JavaScript中,我们可以直接使用JSON,因为JavaScript内置了JSON的解析。
JSONP 劫持漏洞实例
11-15 2014
0x01 Jsonp简介 Jsonp(JSON with Padding) 是 json 的一种"使用模式",可以让网页从别的域名(网站)那获取资料,即跨域读取数据。 为什么我们从不同的域(网站)访问数据需要一个特殊的技术(JSONP )呢?这是因为同源策略。 同源策略,它是由Netscape提出的一个著名的安全策略,现在所有支持JavaScript 的浏览器都会使用这个策略。 ...
JSONP跨域访问漏洞
Echo__h的博客
05-02 453
构造如下页面,创建恶意链接诱使用户点击,即可获取用户的信息// 调用stringfy方法,将JSON对象转换为字符串 alert(JSON . stringify(args));//"></script> // %2B为+ %26为& < / script >模拟用户访问,成功将cookie和url地址添加到数据库。
第81篇:JSONP劫持漏洞获取敏感信息原理、复现与坑点总结
ABC_123的博客
11-25 2010
Part1 前言大家好,我是ABC_123。今天我们研究一下JSONP劫持漏洞,早些年这个漏洞主要被攻击者用来窃取个人信息,如姓名、身份证号、家庭住址等,现在更多的用于蜜罐之中,间接溯源红队攻击者的个人身份。好多朋友至今对这个漏洞理解不深刻,能发现能利用,但是就是不明白原理,有时候别人能复现成功,但是自己却怎么都复现成功。今天ABC_123搭建一个tomcat环境,用java代码写了几个ser...
JSONP漏洞分析及利用方式
ak.Gh0st的博客
11-02 1573
jSONP 的最基本的原理是:动态添加一个< script >标签,而 script 标签的 src 属性是没有跨域的限制的。由于同源策略的限制,XmlHttpRequest 只允许请求当前源(域名、协议、端口都相同)的资源,如果要进行跨域请求, 我们可以通过使用 html 的 script 标记来进行跨域请求,并在响应中返回要执行的 script 代码,其中可以直接使用 JSON 传递 javascript 对象。
详解JSON和JSONP劫持以及解决方法.docx
01-22
"详解JSON和JSONP劫持以及解决方法" 本文主要介绍了JSON和JSONP劫持的概念、攻击过程、解决方法以及实例代码,旨在帮助读者深入理解这两种攻击方式,并提供实际有效的解决方法。 JSON劫持 JSON劫持,也称为JSON ...
详解JSON劫持技术_数据劫持
12-12
详解JSON劫持技术 了解JSON劫持技术的不多,包括json劫持,JSONP劫持,以及如何防御JSON劫持JSONP劫持
cookie劫持与明文密码发送
weixin_43225966的博客
04-21 631
代码分析,当用户访问登录页面时,会请求 http://localhost/metinfo/admin/?翻到 ./app/system/我们可以看到很多模块的文件夹,2.思路1: 准备一个xss平台,把script脚本放在admin登录后可以看的资源文件里,把cookie发送到平台,输入http://localhost/metinfo/admin/index.php 进入 admin 后台登录页面。3.思路2:修改代码,在用户登录成功时的那段代码里添加发送明文密码的语句,准备一个接收后台。
请解释一下Cookie劫持是什么,以及如何防止?
最新发布
长风破浪会有时的博客
04-01 587
Cookie就像是我们放在网上的一个小标记,它可以帮助网站记住我们的一些信息,比如我们的用户名或者我们喜欢的东西。这样,当我们下次再去那个网站的时候,网站就可以通过这个小标记来认出我们,并为我们提供更好的服务。但是,有时候坏人会想办法偷走我们的这个小标记,也就是Cookie,然后利用它来假冒我们的身份去做一些不好的事情,比如进入我们的账户或者窃取我们的信息。:当我们在使用网络的时候,要尽量使用安全的网络连接,比如家里的WiFi或者学校的网络。:首先,我们要确保我们的电脑和手机是安全的,不被坏人控制。
Session 会话劫持和cookie窃取
Flynn的博客
04-08 981
会话劫持 会话劫持(Session hijacking),这是一种通过获取用户Session ID后,使用该Session ID登录目标账号的攻击方法,此时攻击者实际上是使用了目标账户的有效Session。会话劫持的第一步是取得一个合法的会话标识来伪装成合法用户 思路 攻击者不获取用户的cookie和session,而是想办法让用户在不知情的情况自己去踩坑。 比如CSRF跨站脚本让已经被服务器验证通过的用户来帮攻击者完成危险操作。 1.攻击者构造特殊的界面,请求修改密码。 //evil.html &lt
Cookie与Session的简单使用
彪悍的人生
07-30 1万+
Cookie http协议本身是一种无状态的协议,不能进行登录验证。 Cookie是对http协议的扩展。 服务端可以在响应头中添加 Set-Cookie 字段,将cookie值发送给客户端,浏览器在收到这个响应时,会自动将cookie保存起来,下次再发送请求时,会将这个cookie附带在请求头的Cookie字段中发给服务器。 cookie是按照域名分别存储的,从A域名得到的cookie只...
xss payload
weixin_33813128的博客
01-22 132
xss payload可以使用富客户端文本书写,大多数用javascript,少部分用actionscript等等。 1.盗取cookie,发起cookie劫持 使用xss漏洞插入cookie.js cookie.js代码:   1 var img = document.createElement("img"); 2   ...
利用XSS窃取用户Cookie
Monsterlz123的博客
07-20 7074
【XSS】利用XSS窃取用户Cookie Hello,各位小伙伴周六愉快。 晃眼之间一周又快要过去了,时间是不等人滴~~ 这周准备连发三篇XSS相关内容,两篇实战,一篇总结。 然后XSS漏洞部分就暂时完结啦~~ 今天我们来看看怎么利用XSS窃取用户cookie吧。 一、实验概述 实验拓扑: XSS的用途之一就是窃取用户的cookie,攻击者利用XSS在网站中插入恶意脚本,一旦用户访问该网页...
jsonp劫持攻击
focus on security
05-27 700
JSONP 全称是 JSON with Padding,是一个非官方的协议json的一种使用模式,可以让网页从别的网站那获取资料,利用<script>标签的跨域能力实现跨域数据的访问,请求动态生成的JavaScript脚本同时带一个callback函数名作为参数。 服务端收到请求后,动态生成脚本产生数据,并在代码中以产生的数据为参数调用callback函数,网页可以得到从其他来源动态产生的json数据,因此可以用来实现跨域。 如果网站B对网站A的JSONP请求没...
分享一个jsonp劫持造成的新浪某社区CSRF蠕虫
Coisini的博客
06-15 439
最近jsonp很火,实话说已经是被玩烂了的,只是一直没有受到大家的重视。正好在上个月,我挖过一个由于jsonp造成的新浪某社区CSRF,当时是为了准备一篇文章,之后这篇文章也会拿出来分享。 因为新浪已经修复了问题,所以我先把这个漏洞分享出来。以下是当时写的部分文章。 0x01 引子 听说新浪五月送衣服,我其实也没太多空去挖洞。本来想交一个两年前挖的CSRF刷粉,结果拿出来一看那洞早没了,目标站都...
JSON劫持漏洞(详细讲解利用JSON从而进行数据劫持的漏洞攻防策略)
热门推荐
程宇寒
05-24 2万+
英文原文:JSON Hijacking英汉对照:JSON Hijacking 翻译对照原文解析:JSON劫持漏洞分析和攻防演练声明(阅读前必读!!!):转载自这篇文章本人是一个英语渣,英语四级都没过。翻译此文存粹用于英语学习,而且大部分还是用翻译软件翻译的。请谨慎阅读此译文,注意不要被译文雷到。另外这是一篇2009年的老文章了,里面有部分知识可能已经过时了,不过文章中关于JSON劫持的知识大部分还...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值