前言
写写简单的漏洞原理小知识科普,一来学习一些新的知识提升一下自己;二来巩固复习一下已有知识,温故知新;三来以后查阅起来也比较方便。
JSONP出现的前因
众所周知,为了防止不同域之间对页面的互相涂改,于是有了同源策略。凡事都有利弊,同源策略在保护浏览器客户端安全的同时限制了跨域资源的访问,跨域的数据传输产生一些不方便。于是智慧的劳动人民想出了JSONP这种方式来进行跨域间的数据传递。但也正因JSONP跨域传输的特质,绕过了同源策略产生了一定的安全问题。
简单了解一下JSONP
JSON是一种数据格式,在很多语言里都得到了支持,在一定的场合下为数据传输提供了很大的便利。而JSONP呢,全程是 JSON with Padding。字面意思,在原有的JSON上填充了一些东西。以下代码是一段JSONP的使用示例。
<body>
<script>
function callback(json) {
alert(json.username);
}
var s = document.createElement('script');
s.src = 'http://127.0.0.1/test.json';
document.body.appendChild(s);
</script>
</body>
#test.json内容如下
callback({ username: "zhhhy" })
JSONP跨域能力的来源
根据上述例子,可以体会到JSONP并不是种数据格式,而是为了进行跨域传输的一种特殊编码方式。上述例子并没有体现出跨域的能力。先来分析一下整个程序流程,就可以理解为什么JSONP具有跨域的超能力。
代码很简单不难理解,执行了一段JS代码,作用是创建一个<script>标签,并且设置src属性的值为目标文件的地址,这样就会对目标地址发起一次请求。而请求得到的结果则是test.json的内容。JS代码中还定义了一个callback函数。以至于返回的内容调用了callback函数,而JSON字符串被作为参数传入到callback函数之中,所以就将属性值以弹窗的方式显示。
根据上述流程,不难想到,<script>是实现跨域的关键点。由于<script>标签的开放性,以至于可以不遵循同源策略,类似的标签还有很多。只要能进行跨域,也就是自己的服务器可以访问到其他服务器里的JSON资源,达到一种信息泄露的效果。
所有带src或href属性的标签以及部分其他标签可以跨域:
<script src="..."></script>
<img src="...">
<video src="..."></video>
<audio src="..."></audio>
<embed src="...">
<frame src="...">
<iframe src="..."></iframe>
<link rel="stylesheet" href="...">
<applet code="..."></applet>
<object data="..." ></object>
JSONP跨域劫持的危害
上文以一个小例子简单描述了JSONP的跨域能力来源,还提及了JSONP可以达成信息泄露的效果。仔细思考一番。个人认为,JSONP跨域劫持是CSRF的一种特殊利用方式。CSRF最大的特点就是伪装成客户端合法用户进行一些越权操作,比如任意创建管理员账号,发布文章等。其中最大的利用限制在于需要和正常用户进行交互,也就是诱使用户访问构造好的页面或者完成一些操作。JSONP劫持也是如此,而CSRF在JSONP劫持的加持下,可以绕过token值的校验。P神给出了一个新浪的例子P神给出了一个新浪的例子。通过第一步JSONP劫持泄露出CSRF_token值,由于没有验证Refere头以至于CSRF攻击成功,可以未授权发布文章。
JSONP防御
既然JSONP是CSRF的一种利用方式,那么使用CSRF的防御手段自然也就能防御。比如验证token值和验证refere头部,如果验证机制处理不当,依旧还是会出现一些问题。可考虑增加验证码等中间操作,不过会降低用户体验性。最主要还是增加用户的安全意识吧,不要随意点不明连接。
参考链接
https://www.jianshu.com/p/cc6ae9ad2ce6
https://zhengbao.wang/jsonp%E5%8A%AB%E6%8C%81%E6%BC%8F%E6%B4%9E/#more
https://www.cnblogs.com/52php/p/5677775.html
https://www.secpulse.com/archives/74691.html
https://www.anquanke.com/post/id/97671
