本文轉(zhuǎn)自公眾號(hào)：安全祖師爺

JSON 劫持又為“ JSON Hijacking ”，最開始提出這個(gè)概念大概是在 2008 年國外有安全研究人員提到這個(gè) JSONP 帶來的風(fēng)險(xiǎn)。其實(shí)這個(gè)問題屬于 CSRF（ Cross-site request forgery 跨站請(qǐng)求偽造）攻擊范疇。當(dāng)某網(wǎng)站聽過 JSONP 的方式來快域（一般為子域）傳遞用戶認(rèn)證后的敏感信息時(shí)，攻擊者可以構(gòu)造惡意的 JSONP 調(diào)用頁面，誘導(dǎo)被攻擊者訪問來達(dá)到截取用戶敏感信息的目的。

漏洞原理

JSON實(shí)際應(yīng)用的時(shí)候會(huì)有兩種傳輸數(shù)據(jù)的方式：

xmlhttp獲取數(shù)據(jù)方式：

{'username':'wooyun','password':'wooyun'}

當(dāng)在前端獲取數(shù)據(jù)的時(shí)候，由于數(shù)據(jù)獲取方和數(shù)據(jù)提供方屬于同一個(gè)域下面，所以可以使用 xmlhttp的方式來獲取數(shù)據(jù)，然后再用xmlhttp獲取到的數(shù)據(jù)傳入自己的js邏輯如eval。

script獲取數(shù)據(jù)方式：

userinfo={'username':'wooyun','password':'wooyun'}

如果傳輸?shù)臄?shù)據(jù)在兩個(gè)不同的域，由于在javascript里無法跨域獲取數(shù)據(jù)，所以一般采取script標(biāo)簽的方式獲取數(shù)據(jù)，傳入一些callback來獲取最終的數(shù)據(jù)，這就有可能造成敏感信息被劫持。

所以，總的來說就是網(wǎng)站以JSON形式輸出數(shù)據(jù)，且其中包含用戶敏感信息，攻擊者通過第三方站點(diǎn)以CSRF手段使用戶瀏覽器請(qǐng)求目標(biāo)站點(diǎn)得到包含敏感信息的JSON數(shù)據(jù)，進(jìn)而劫持到敏感信息。

json劫持

json劫持攻擊又為”JSON Hijacking”，攻擊過程有點(diǎn)類似于csrf，只不過csrf只管發(fā)送http請(qǐng)求，但是json-hijack的目的是獲取敏感數(shù)據(jù)。

一些web應(yīng)用會(huì)把一些敏感數(shù)據(jù)以json的形式返回到前端，如果僅僅通過cookie來判斷請(qǐng)求是否合法，那么就可以利用類似csrf的手段，向目標(biāo)服務(wù)器發(fā)送請(qǐng)求，以獲得敏感數(shù)據(jù)。

比如下面的鏈接在已登錄的情況下會(huì)返回json格式的用戶信息：

http://www.test.com/userinfo

攻擊者可以在自己的虛假頁面中，加入如下標(biāo)簽：

<script src='http://www.test.com/userinfo'></script>

如果當(dāng)前瀏覽器已經(jīng)登錄了www.test.com，并且cookie未過期，然后訪問了攻擊者的虛假頁面，那么該頁面就可以拿到j(luò)son形式的用戶敏感信息，因?yàn)閟cript標(biāo)簽會(huì)自動(dòng)解析json數(shù)據(jù)，生成對(duì)應(yīng)的js對(duì)象。然后再通過

Object.prototype.__defineSetter__

這個(gè)函數(shù)來觸發(fā)自己的惡意代碼。
但是這個(gè)函數(shù)在當(dāng)前的新版本chrome和firefox中都已經(jīng)失效了。

jsonp劫持

Jsonp（json with padding）是基于 JSON 格式的為處理跨域請(qǐng)求資源而產(chǎn)生的處理方案，遠(yuǎn)程調(diào)使用 JSON 文件來實(shí)現(xiàn)數(shù)據(jù)傳遞。利用script元素的開放策略，網(wǎng)頁可以得到從其他來源動(dòng)態(tài)產(chǎn)生的json數(shù)據(jù)，因此可以用來實(shí)現(xiàn)跨域。

舉一個(gè)例子

<?php

$callback = $_GET['callback'];

print $callback . '({'id' : '1','name' : '小明'});';

?>

這里出現(xiàn)了callback他的作使用就是回調(diào)我們的json。

web程序如果通過這種方式跨域之后，攻擊者完全可以在自己的虛假頁面中發(fā)起惡意的jsonp請(qǐng)求，這就引來了安全問題。比如：

<script>
function useUserInfo(v){
    alert(v.username);
}
</script>
<script src='http://www.test.com/userinfo?callback=useUserInfo'></script>

如果服務(wù)器端的userinfo接口支持jsonp，那就會(huì)使虛假頁面成功執(zhí)行useUserInfo函數(shù)，從而導(dǎo)致安全問題。

json劫持的挖掘過程的referer繞過機(jī)制。

1. 正則不嚴(yán)謹(jǐn)

如正常請(qǐng)求的referer：www.123.com

我們修改為referer

只要要攻擊者利使用時(shí)注冊(cè)相應(yīng)的域名即可以繞過

2. 空referer

這里直接刪去referer是最簡單的一個(gè)

jsonp接口漏洞挖掘

相關(guān)的介紹就不細(xì)細(xì)道來了，其實(shí)原理也就是JSONP實(shí)際上是使用script方式獲取Javascript代碼，進(jìn)而執(zhí)行，因此可以在我們自己的頁面中，使用JSONP獲取數(shù)據(jù)，并使用Javascript Hook的方式，讓其執(zhí)行我們自定義的回調(diào)函數(shù)，獲取敏感信息。

需要滿足的條件：

使用JSONP獲取數(shù)據(jù)；
未檢測 referer或者驗(yàn)證了 referer，但是驗(yàn)證方式不嚴(yán)謹(jǐn)，如需要驗(yàn)證的 referer 為 www.xxx.com 域，但是 www.xxx.com.mydomain.com 同樣能夠繞過；
GET請(qǐng)求中不包含token相關(guān)的參數(shù)

如何挖掘這樣的接口呢？我們可以使用Fiddler、burpsuite或者F12等方法去一個(gè)個(gè)檢查，但這樣豈不是要累死人了……
更輕松的方式：自動(dòng)化測試工具Selenium + Proxy + 驗(yàn)證腳本
（1）Selenium：可用于自動(dòng)化對(duì)網(wǎng)頁進(jìn)行測試，“到處”點(diǎn)擊按鈕、超鏈接，以期待測試更多的接口；
（2）Proxy：用于代理所有的請(qǐng)求，過濾出所有包含敏感信息的JSONP請(qǐng)求，并記錄下HTTP請(qǐng)求；
（3）驗(yàn)證腳本：使用上述的HTTP請(qǐng)求，剔除referer字段，再次發(fā)出請(qǐng)求，測試返回結(jié)果中，是否仍包敏感信息，如果有敏感信息，說明這個(gè)接口就是我們要找的！
測試：

使用腳本進(jìn)行測試，我以sina為例，首先需要登錄sina賬號(hào)，微博或者博客都可以，然后開啟瀏覽器代理，運(yùn)行我們的腳本，最后瀏覽網(wǎng)頁，就能檢測出這樣的JSONP接口了

至此發(fā)現(xiàn)該JSONP接口，簡單寫兩句JS代碼放到我們的網(wǎng)站上：

$.ajax({
url: 'https://api.weibo.com/2/{隱藏了哦}',
type: 'get',
dataType: 'jsonp',
}).done(function(json){
var id = json['data']['id'];
var screen_name = json['data']['screen_name'];
var profile_image_url = json['data']['profile_image_url'];

var post_data = '';
post_data += 'id=' + id + '&';
post_data += 'screen_name=' + screen_name + '&';
post_data += 'profile_image_url=' + encodeURIComponent(profile_image_url);
console.log(post_data);
// 發(fā)送到我的服務(wù)器上
}).fail(function() {});

很快就可以收到大波的用戶信息了

相關(guān)的代碼放到了Github上,https://github.com/qiaofei32/jsonp_info_leak

漏洞危害

JSON劫持主要能夠造成的危害大概有這么幾類：

　　1. 可能導(dǎo)致用戶權(quán)限被盜用;

　　攻擊者通過JSON劫持構(gòu)造盜取管理員或高權(quán)限用戶的腳本，一旦被訪問，權(quán)限立即被盜用。

　　2. 可以通過劫持對(duì)網(wǎng)頁進(jìn)行掛馬;

　　在JSON劫持點(diǎn)構(gòu)造引向漏洞后門木馬，但訪問直接利用漏洞批量掛馬。

　　3. 可對(duì)劫持頁進(jìn)行網(wǎng)站釣魚;

　　利用JSON劫持直接導(dǎo)向偽裝網(wǎng)站地址。

　　4. 可做提權(quán)攻擊;

　　5. 變種拒絕服務(wù)攻擊;

　　劫持后將流量導(dǎo)向受害網(wǎng)站，直接發(fā)動(dòng)DDOS攻擊。

解決方法

其實(shí)json劫持和jsonp劫持屬于CSRF（ Cross-site request forgery 跨站請(qǐng)求偽造）的攻擊范疇，所以解決的方法和解決csrf的方法一樣。

驗(yàn)證 HTTP Referer 頭信息；
在請(qǐng)求中添加 csrfToken 并在后端進(jìn)行驗(yàn)證；

參考地址：

https://blog.csdn.net/mgxcool/article/details/73028337

http://www.mottoin.com/article/web/95682.html

http://www.mottoin.com/article/web/88237.html

聲明：本文僅供白帽子、安全愛好者研究學(xué)習(xí)，對(duì)于用于非法途徑的行為，發(fā)布者及作者不承擔(dān)任何責(zé)任。

相關(guān)操作推薦