海西数据

韩国服务器,美国服务器,香港服务器,台湾服务器,日本服务器,美国空间,马来西亚,新加坡服务器,海外服务器租用

« 通过哪些方式可以进行FTP操作?常用的FTP软件有哪些?怎么抵抗DDOS攻击 »

JSON攻击就是要在数据被使用之前劫持它们

大家网站都有javascript脚本代码,前几年对脚本的利用大多是做跨站脚本攻击,危害性很大,当然现在很多网站也存在这样的问题。但在EeSafe网站安全联盟中最近几个月接触的利用脚本进行攻击却都集中在一个新的攻击技术上——JSON劫持。可能大家对这个比较陌生,但应该都知道AJAX技术吧,JSON利用的就是AJAX技术的缺陷对网站进行攻击。据我们的统计,现在这种攻击的成功率在70%以上,对攻击者来讲,成效已经很好了。
JSON攻击是怎样来的?
首先看利用AJAX传输数据到前台的形式

  1. [
     
  2. [‘Jeff’,’17436237647362’,’master@eesafe.com’],
     
  3. [‘c gieleremker’,’32343243214545’,’beijing@eesafe.com],
     
  4. ]
复制代码

看起来很简单,JSON攻击就是要在数据被使用之前劫持它们。
攻击者在AJAX的回调函数中进行重载,就能够在使用前劫持到这些数据进行修改从而利用,所以如果你的网站使用AJAX技术,那就要特别注意了,很有可能会受到这样的攻击。
怎样防范,增加一个Conten-Type的header标签,当这个值是application/json时,网站的AJAX服务才会接受这个请求。这样就能起到防御JSON劫持攻击的作用。
 

海西数据-国际互联网数据中心:全国最大的服务器提供商!台湾服务器|香港服务器|日本服务器|韩国服务器|美国服务器|新加坡服务器|英国服务器|德国服务器|法国服务器|加拿大服务器|印度服务器|欧洲服务器|国外服务器|
详情请咨询QQ:907607712 QQ:875508531 QQ:574116650 QQ:563149726
联系人:andy bari  jake john
电话:0592-8397998    7x24 13306033708
公司官方网址
http://www.xmwzidc.com 
                 http://
www.xmwzidc.cn 
                 http://
www.hxsj.xmwzidc.com [海西数据虚拟主机网]
                 http://
www.xmwzidc.com/bolg [海西数据博客]

  • 相关文章:

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

日历

最新评论及回复

最近发表

Powered By Z-Blog 1.8 Walle Build 100427

Copyright 海西数据-万纵科技 xmwzidc.cn. ALL Rights Reserved