简要说明:
1.由于浏览器的同源策略(域名,协议,ip端口相同),非同源域名之间传递会存在限制。
2.JSONP(用于解决跨域数据传输的问题,利用了HTML里元素标签的开放策略src引入Js文件,远程调用动态生成JSON文件来实现数据传递,并以任意javascript的形式传递,一般使用 Callback(回调函数返回,由于没有使用白名单的方法进行限制Callback的函数名,导致攻击者可以自定义Callback内容,从而触发XSS等漏洞)由浏览器的javascript引擎负责解释运行。
原理分析:
1.接口开发时,接收回调函数的参数值在进行拼接前未对恶意数据进行合理化处理,导致攻击者插入恶意的HTML标签并在返回的JSON数据格式原样输出;
2.同时服务端未**正确设置响应头content-type,**导致返回的json数据被浏览器当做Html内容进行解析,就可能造成xss等漏洞。
测试切入点:
1.一个使用jsonp技术的接口,参数中包含回调函数的名称(jasonp,callback,);
2.服务端返回的json数据时,响应头为 content-type: text/html;
3.服务端未对回调函数参数进行过滤净化。
测试步骤:
1.设置代理到burpsuite;
2.网站根目录开始爬取,重点关注Ajax异步(一般页面只会局部刷新)处理的网页,关注重点业务;
3.在HTTP history 标签页过滤功能过滤关键词 Callback,jasonp,等请求,找到URL带有Callback参数的链接。勾选Filder by file extension中的Hider,隐藏js、gif等后缀的URL);
4.查看URL对应得HTTP Response的Content-Type类型是否为text/html且内容是否为json形式(带有json数据的函数调用),如果是我们输入的HTML标签才会被浏览器解析;
5.将对应的请求发送到Repeater。在callback参数值的前面加一些类似HTML的标签,如,如callback=Testjsonp1,Go之后发现Response的内容有无影响(HTML有无被转义,没有转义则存在漏洞)。也可将callback参数换为有恶意行为的HTML标签,如callback=<img οnerrοr=alert(document.cookie) src=x />jsonp1
防御修复方案:
1.定义HTTP响应中content-type为json数据格式,即Content-type:application/json;
2.建立callback白名单,如果传入的callback参数值不在名单内就阻止继续输出,跳转到异常页面;
3.对callback参数进行净化,包括不限于html实体编码,过滤特殊字符< > 等。
此文档仅供学习参考跟技术交流,请勿用于违法操作!
329
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
