黑客入门——json和json劫持

  • 时间:2018-08-12 22:53 作者:黑客入门学习 来源:黑客入门学习 阅读:159
  • 扫一扫,手机访问
摘要:大家好,我是衬衫,这篇文章是我的投稿。本文将给大家详情json和json劫持。1.json与jsonp首先向大家详情一下什么是json"JSON( Object Notation, JS 对象简谱) 是一种轻量级的数据交换格式。它基于 (欧洲计算机协会制定的js规范)的一个子集,采使用完全独立于编程

大家好,我是衬衫,这篇文章是我的投稿。本文将给大家详情json和json劫持。

1.json与jsonp

首先向大家详情一下什么是json

"JSON( Object Notation, JS 对象简谱) 是一种轻量级的数据交换格式。它基于 (欧洲计算机协会制定的js规范)的一个子集,采使用完全独立于编程语言的文本格式来存储和表示数据。简洁和清晰的层次结构使得 JSON 成为理想的数据交换语言。 易于人阅读和编写,同时也易于机器解析和生成,并有效地提升网络传输效率。"

黑客入门——json和json劫持

其实浅显来说json就是一种格式,相似于python当中的字典。

举个简单的例子{"id" : "1","name" : "小明"},这个就是一个简单的json,而后我们要详情的是jsonp。

Jsonp(json with padding)是基于 JSON 格式的为处理跨域请求资源而产生的处理方案,远程调使用 JSON 文件来实现数据传递。

再举一个例子

"<?php

$callback = $_GET['callback'];

print $callback . '({"id" : "1","name" : "小明"});';

?>"

这里出现了callback他的作使用就是回调我们的json。

上面的php例子相对应的前台是这样写的:

""

这就是简单的一段jsonp的运使用,跨域传输我们的json文件,那么随着我们jsonp的出现也导致了少量安全问题。

我们这里要详情的是json劫持。

黑客入门——json和json劫持

2.json劫持

因为jsonp的跨域传输同时也带来了很多不安全的因素。

这里我们举个例子,某云的一个案例"利使用腾x某站点json获取到当前登录者xx号码",我们访问之后就相似于咱们最早举得小明那个例子很想通过calback参数去回调给使用户。

所以json劫持的挖掘过程也就浮出水面,但是现在很多站存在针对csrf的验证机制,所以在详情一下csrf的referer绕过机制。

1. 正则不严谨

如正常请求的referer:www.123.com

我们修改为referer

只要要攻击者利使用时注册相应的域名即可以绕过

2. 空referer

这里直接删去referer是最简单的一个

黑客入门——json和json劫持

3. 总结

当我们在json劫持的挖掘和利使用的时候去寻觅敏感操作或者者其余能获取使用户的信息的位置,我们看能否会有这样的url存在callback回调给使用户,这样存在如上的位置都可以被攻击者利使用,只是做一个简单的分析。本文尚有不足,望大佬们指出

小编按:谢谢大家的阅读。同时欢迎大家投稿。

  • 全部评论(0)
最新发布的资讯信息
【系统环境|服务器应用】PHP和Python实战bcrypt算法(2019-02-01 20:47)
【系统环境|服务器应用】PostgreSQL数据库安装Version10.5(2019-02-01 20:47)
【系统环境|服务器应用】Notepad++快速选中多行(2019-02-01 20:47)
【系统环境|服务器应用】Clover支持目录多标签页(2019-02-01 20:47)
【系统环境|服务器应用】计算机视觉 OpenCV Android | Mat像素操作(2019-02-01 20:46)
【系统环境|服务器应用】PHP | 运算符 知识梳理与运用实例(2019-02-01 20:46)
【系统环境|服务器应用】人工智能通识-数学-零基础矩阵运算(2019-02-01 20:46)
【系统环境|服务器应用】Android-打包AAR步骤以及最为关键的注意事项!(2019-02-01 20:46)
【系统环境|服务器应用】回转寿司你肯定吃过!——Android消息机制(构造)(2019-02-01 20:46)
【系统环境|服务器应用】Android中不规则形状View的布局实现(2019-02-01 20:46)
手机二维码手机访问领取大礼包
返回顶部