大家网站都有javascript脚本代码,前几年对脚本的利用大多是做跨站脚本攻击,危害性很大,当然现在很多网站也存在这样的问题。但在EeSafe网站安全联盟中最近几个月接触的利用脚本进行攻击却都集中在一个新的攻击技术上——JSON劫持。可能大家对这个比较陌生,但应该都知道AJAX技术吧,JSON利用的就是AJAX技术的缺陷对网站进行攻击。据我们的统计,现在这种攻击的成功率在70%以上,对攻击者来讲,成效已经很好了。
JSON攻击是怎样来的?
首先看利用AJAX传输数据到前台的形式
看起来很简单,JSON攻击就是要在数据被使用之前劫持它们。
攻击者在AJAX的回调函数中进行重载,就能够在使用前劫持到这些数据进行修改从而利用,所以如果你的网站使用AJAX技术,那就要特别注意了,很有可能会受到这样的攻击。
怎样防范,增加一个Conten-Type的header标签,当这个值是application/json时,网站的AJAX服务才会接受这个请求。这样就能起到防御JSON劫持攻击的作用。
EeSafe网站安全联盟原创文章
转载请以链接形式注明原文地址:http://www.eesafe.com/bbs/thread-1392-1-1.html