频道栏目
首页 > 资讯 > 安全公告 > 正文

javascript脚本网站安全需提防JSON劫持

2012-05-11 15:42:37           
收藏   我要投稿
大家网站都有javascript脚本代码,前几年对脚本的利用大多是做跨站脚本攻击,危害性很大,当然现在很多网站也存在这样的问题。但在EeSafe网站安全联盟中最近几个月接触的利用脚本进行攻击却都集中在一个新的攻击技术上——JSON劫持。可能大家对这个比较陌生,但应该都知道AJAX技术吧,JSON利用的就是AJAX技术的缺陷对网站进行攻击。据我们的统计,现在这种攻击的成功率在70%以上,对攻击者来讲,成效已经很好了。
 
 JSON攻击是怎样来的?
 
首先看利用AJAX传输数据到前台的形式
 [
 [‘Jeff’,’17436237647362’,’master@eesafe.com’],
 [‘c gieleremker’,’32343243214545’,’beijing@eesafe.com],
 ]
 
 
看起来很简单,JSON攻击就是要在数据被使用之前劫持它们。
 
攻击者在AJAX的回调函数中进行重载,就能够在使用前劫持到这些数据进行修改从而利用,所以如果你的网站使用AJAX技术,那就要特别注意了,很有可能会受到这样的攻击。
 
怎样防范,增加一个Conten-Type的header标签,当这个值是application/json时,网站的AJAX服务才会接受这个请求。这样就能起到防御JSON劫持攻击的作用。
 
 EeSafe网站安全联盟原创文章 http://www.eesafe.com/bbs/thread-1392-1-1.html
相关TAG标签 脚本 网站
上一篇:Node.js 爆安全漏洞,请立即更新至 0.6.17
下一篇:黑客入侵邮箱骗取外贸货款案频发 多重确认保安全
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站