JSONP漏洞自动挖掘方法探究.docVIP

JSONP漏洞自动挖掘方法探究 　　摘要：JSONP是一种支持浏览器内跨域信息交换的技术，可用于不同域间的数据传递，由于该技术灵活方便使其在Web领域得到了广泛应用，但安全问题有待解决，倘若网站在处理JSONP请求时没有严格检查来源会产生JSONP漏洞。JSONP漏洞易导致敏感信息泄露，危害极其严重。目前JSONP漏洞的挖掘方法非常有限，主要靠手动方式完成，目前该方法效率较低，且挖掘不全面。针对JSONP漏洞手动挖掘方式的不足提出了一种基于Chrome插件的JSONP漏洞自动挖掘方法，通过该方法可高效、自动、全面地挖掘网站中存在的JSONP漏洞 关键词：JSON；JSONP；同源策略；回调函数；漏洞挖掘 中图分类号：TP393.08 文献标识码：A 文章编号：1009-3044（2016）35-0017-02 1 引言 随着信息技术的快速发展，业务量的不断丰富，互联网对于Web技术提出了更高的要求。JavaScript[1]的问世无疑更加丰富了用户体验，JSON数据格式的广泛应用让前端技术的发展有了质的飞跃。所有支持JavaScript的浏览器都不允许页面访问非同源[2]（同源是指域名、协议、端口相同）信息，然而在实际的业务中，访问非同源信息的场景不可避免，正因如此，JSONP[3]技术得以广泛应用，成为一种非官方跨域数据交互协议 JSONP带来便利的同时产生了相应的安全问题，如果没有合理利用JSONP易产生JSONP漏洞，最终导致隐私泄露，若被违法犯罪分子利用，将会带来不可估量的损失。目前JSONP漏洞的挖掘主要是靠手工方式，挖掘效率低且挖掘不够全面。针对JSONP漏洞手工挖掘方式的不足，本文首次提出了基于Chrome插件形式的JSONP漏洞自动挖掘方法，能够高效、自动、全面的挖掘网站的JSONP漏洞，为JSONP漏洞的挖掘提供了新思路 2 JSONP漏洞介绍 2.1 JSON与JSONP JSON[4]是JavaScript Object Notation的缩写，是一种轻量、可读基于文本的数据交换开放标准。源于JavaScript编程语言中对简单数据结构和关联数组的展示功能，它是仅含有数据对和简单括号结构的纯文本，可通过多种途径进行JSON消息的传递 JSONP是JSON with Padding的缩写，是一种非官方协议。在同源策略下，某个服务器下的页面是无法获取该服务器以外数据的，但img、iframe、script等标签是例外，这些标签可以通过src属性请求到其他服务器上的数据。JSONP的原理从本质上讲是利用标签的src属性不受同源策略的限制，访问跨域URL。基于这一机制，可以在源网页中注册一个回调函数，然后在跨域服务器上调用这一回调函数[5]，将服务器数据以参数形式传递给回调函数，并将服务器上这段代码以注入的方式添加到源网页标签的src属性中，从而实现服务器数据的跨域访问 2.2 JSONP漏洞 通过JSONP技术可以实现数据的跨域[6]访问，必然会产生安全问题，如果网站B对网站A的JSONP请求没有进行安全检查直接返回数据，则网站B便存在JSONP漏洞，网站A利用JSONP漏洞能够获取用户在网站B上的数据 JSONP漏洞利用过程如下： 1）用户在网站B注册并登录，网站B包含了用户的id，name，email等信息； 2）用户通过浏览器向网站A发出URL请求； 4）用户收到响应，解析JS代码，将回调函数作为参数向网站B发出请求； 5）网站B接收到请求后，解析请求的URL，以JSON 格式生成请求需要的数据，将封装的包含用户信息的JSON数据作为回调函数的参数返回给浏览器，网站B返回的数据实例如下：Callback（{“id”：1，”name”：”test”，”email”：”test@”}） 6）网站B数据返回后，浏览器则自动执行Callback函数对步骤4返回的JSON格式数据进行处理，通过alert弹窗展示了用户在网站B的注册信息。另外也可将JSON数据回传到网站A的服务器，这样网站A利用网站B的JSONP漏洞便获取到了用户在网站B注册的信息 整??JSONP漏洞利用过程如图1所示： 2.3 JSONP漏洞危害 JSONP是一种敏感信息泄露的漏洞，经过攻击者巧妙而持久地利用，会对企业和用户造成巨大的危害[8]。攻击者通过巧妙设计一个网站，网站中包含其他网站的JSONP漏洞利用代码，将链接通过邮件等形式推送给受害人，如果受害者点击了链接，则攻击者便可以获取受害者的个人的信息，如邮箱、姓名、手机等信息，这些信息可以被违法犯罪分子用作“精准诈骗”。对方掌握的个人信息越多，越容易取得受害人的信任，诈骗活动越容易成功，