如下文章是早期撰寫,有一些錯誤,建議讀新寫的文章:https://www.cnblogs.com/mysticbinary/p/12620152.html
JSONP Hijackin的中文意思是JSON劫持,而能產生JSON資料劫持的原因在于前端被跨站攻擊了,跨站=跨域,跨域從字面上理解的話,就是指超出了范圍、領域,繼續追問一下,那超出了什么范圍?原來指的范圍有多大?理解跨站攻擊的基礎在于理解這個域有多大,為了更準確的理解JSON Hijackin攻擊,建議讀者可以先了解一下如下幾個背景知識:
- 域概念 (下文會介紹)
- JSON (搜索引擎查一下)
- 介面回呼 (建議看我之前的文章:https://www.cnblogs.com/mysticbinary/p/11869181.html)
域概念解釋
在計算機領域里很多地方都會用到這個域,而不同地方所包含的含義卻是不相同的,比如說寫代碼定義的變數有作用域,在局域網建設中有網路域,Internet有一項核心服務是域名決議系統(DNS),本文所討論的域就是指DNS的域名,
DNS的作業原理:
在全球各地有眾多服務器(分布式),在這些服務器里面都同步的保存著域名和IP的一一映射,這樣人們就可以不用記住枯燥的IP地址,只記住有意思的單詞域名就行了,
域介紹:
域通過一個點.來來分開一個域,域名不區分大小寫,有唯一性,跟身份證號一樣,是獨一無二點,
域分類:
域名又分頂級域名和其它域名,頂級域名就是如下這些,被預先定義好的,
可以理解為世界上有一個組織專門在管理、維護這些頂級域名,
其它域名指二級域、三級域、四級域、五級域(一般不超過五級域),二級域就是指靠近頂級域的域名,如下圖:
高級域包含低級域,
各個頂級域名下的二級域名一般需要花錢去申請,申請到一個二級域之后,你就可以通過配置DNS的CNAME記錄來配置三級域,四級域,五級域的指向,
跨域請求的需求
跨域請求的場景指在前端瀏覽器發生,指前端瀏覽器跨了域名、埠的請求,就是跨域請求,看看我下面的實驗:
會發現瀏覽器為了本地Cookie安全的考慮,都會禁止這種跨域請求的操作,但是有時一些業務確實會需要到這種跨域請求呀,比如說百度公司開發了一個home.baidu.com站點,他們想用戶已經在本地瀏覽器登錄過了我的首頁百度了,能不能讓home站點跨域去訪問一下www站點的介面,讓登錄資料互通一下,避免麻煩用戶多次登錄的麻煩,那這個跨站怎么解決呢?
解決方式很多,下面列舉3個我知道的:
- 通過Nginx設定反向代理來解決跨域問題,(這里不討論)
- 修改回應頭方式:Access-Control-Allow-Origin (這里不討論)
- JSONP方式(其存在的意義就是繞過同源策略,來強制執行XMLHttpRequest(AJAX requests))
JSONP方式解決跨域請求
JSONP看著這個名字比較奇怪,比JSON讀多個P,不用管它叫什么,名字只是一個代稱,它代指前后端通過回呼配合的一個程序,具體看如下案例吧,
JSONP怎么解決跨域請求?我沒研究那么細,但是知道這個現象,就是通過網頁的中的href="https://xxx.xxx.com"、src="https://xxx.xxx.com"這種標簽是可以任意進行請求跨域的資源檔案的,也就意味著JSONP存在的意義就是繞過同源策略,來強制執行XMLHttpRequest(AJAX requests)的,
JSONP跨域請求,通過回呼傳回前端的案例
前端html代碼:
<meta content="text/html; charset=utf-8" http-equiv="Content-Type" />
<script type="text/javascript">
function jsonpCallback(result) {
alert(result.a);
alert(result.b);
alert(result.c);
for(var i in result) {
alert(i+":"+result[i]);//回圈輸出a:1,b:2,etc.
}
}
</script>
<script type="text/javascript" src="http://crossdomain.com/services.php?callback=jsonpCallback"></script>
后端的php代碼:
<?php
//服務端回傳JSON資料
$arr=array('a'=>1,'b'=>2,'c'=>3,'d'=>4,'e'=>5);
$result=json_encode($arr);
//echo $_GET['callback'].'("Hello,World!")';
//echo $_GET['callback']."($result)";
//動態執行回呼函式
$callback=$_GET['callback'];
echo $callback."($result)";
?>
可以看到,前端先是定義了jsonpCallback函式來處理后端回傳的JSON資料,然后利用script標簽的src屬性跨域獲取資料(前面說到帶src屬性的html標簽都可以跨域),并且把剛才定義的回呼函式的名稱傳遞給了后端,于是后端構造出“jsonpCallback({“a”:1, “b”:2, “c”:3, “d”:4, “e”:5})”的函式呼叫程序回傳到前端執行,達到了跨域獲取資料的目的,
一句話描述JSONP:前端定義函式卻在后端完成呼叫然后回到前端執行!
JSONP引發的安全問題
JSONP方式雖然解決了跨域請求,但是如果使用不當的話,就會存在有JSONP Hijackin劫持攻擊問題,比如說這個場景:當用戶通過身份認證之后,前端會通過JSONP的方式從服務端獲取該用戶的隱私資料,然后在前端進行一些處理,如個性化顯示等等,這個JSONP的呼叫介面如果沒有做相應的防護,就容易受到JSONP HiJacking的攻擊,
攻擊者在他的服務器中制作一個惡意網頁,傭訓用戶點擊這個網頁的鏈接,只要這個受害的用戶之前登錄過某網站,那么攻擊者就能通過這種方式拿到用戶的敏感資訊,
以http://api.money.126.net/data/feed/0000002,1399010這個回傳股票資訊的json介面為例,模擬一下攻擊流程,
用戶登錄了這個網頁(我設定了一個cookie為testcookie=123456假設用戶登錄了):
攻擊者制作的惡意代碼,傭訓用戶點擊:
<html>
<meta content="text/html; charset=utf-8" http-equiv="Content-Type" />
<script type="text/javascript">
function hijack(result) {
console.log(result);
}
</script>
<script type="text/javascript" src="http://api.money.126.net/data/feed/0000002,1399010?callback=hijack"></script>
</html>
用戶點擊之后,本地的JS腳本就執行了(說明攻擊成功了):
查看一下跨域請求所攜帶的cookie:
JSONP Hijacking怎么檢測
查看登錄后的個人中心、需要登錄之后才能拿到敏感資料的介面,這些地方比較容易出現jsonp跨域劫持問題,通過瀏覽器開發者攻擊F12的Network工具列,在filter過濾框中輸入xhr、jsonp、call關鍵字,查看結果,注意有些不是通過回呼回傳的,直接看回傳respons,
查看該介面是否有敏感資料: https://xxx.xxx.com/xxx/user/userinfo
poc:
<script src="http://ajax.aspnetcdn.com/ajax/jQUERY/JQUERY-1.8.0.js">
</script>
<script>
console.log("domain is : " + document.domain)
$(document).ready(function(){
$.ajax({
url:"http://api.money.126.net/data/feed/0000002,1399010",
dataType:'jsonp',
processData:false,
type:'get',
success:function(data){
console.log(data)
}
});
});
</script>
總結
JSONP Hijackin和XSS、CSRF有相類似的地方,都是攻擊前端用戶,拿到受害用戶的敏感資料,都需要用戶點擊一次惡意鏈接才能完成攻擊,不同的是他們的具體攻擊方法并不一樣,
修復方式
一些敏感的資料介面,除了了要校驗Cookie,還要想到前端會受到CSRF、JSONP Hijacking攻擊的危險,所以還需要校驗Referer、一次性Token令牌,
參考文章
https://www.cnblogs.com/wlfsky/p/9306731.html
轉載請註明出處,本文鏈接:https://www.uj5u.com/qiye/157955.html
標籤:JavaScript
上一篇:使用vue實作復選框單選多選
下一篇:JavaScript 開胃菜