網站,APP越來越多,安全問題也面臨着嚴重挑戰,我們SINE安全在對客戶網站做安全服務的同時,發現很多客戶網站都有使用JSON的互動方式來進行資料的傳輸,包括JSON調用,在使用JSON同時發生的安全問題以及如何做好JSON的網站安全防護,下面我們跟大家來分享一下.
首先我們要了解一下什麼是JSON?
簡單通俗的來說,JSON是JS對象的一個類,是一種很簡單,很快捷的資料交換方式,在JS的寫作規則方面基本上是一緻的,用單獨的格式來存儲資料與展示資料,資料互動過程中很明了,很清晰,層次感較強,使得很多網站的開發人員來使用,促使網站更友善的與客戶進行互動.
那麼在實際的網站安全部署中,我們SINE安全老于跟大家講過一個同源的政策,那老于為何老提這個政策是因為他牽扯到的網站安全很重要,有些客戶網站使用的是jsonp,什麼是同源政策,就是伺服器IP,通路端口,網址,一定是一樣的,簡單講就是www.baidu.com和他同源的隻能是www.baidu.com,這就是jsonp為何與json的不同,很簡單就能很輕易地分辨開。
什麼是JSON了.JSONP是一種傳輸的資料協定,是在JSON之上的一種演變模式,大部分的浏覽器都有同源政策的安全限制,像1.baidu.com跟2.baidu.com是沒有辦法通信的,但有一個好處就是可以調用同一個JS檔案,不受同源安全政策的限制.
這裡我們詳細的講解了什麼是JSON,以及如何區分JSONP.那麼使用了這些JS的傳輸方式會有哪些網站安全問題呢?目前我們SINE安全監測中心,以及實際滲透測試中發現都是CSRF劫持漏洞,有些金融網站,APP使用的 JSONP協定的時候,我們發現可以利用JSONP漏洞來擷取機密的資料,包括一些可以越權,擷取管理者權限才能看到的一些使用者資料.造成該漏洞的主要原因是沒有對來源referer進行安全檢測,攻擊者可以僞造任意的網站位址進行通路,請求JSONP資料,導緻漏洞的發生.安全舉例:個人的使用者資料通路位址是yonghu.php,該PHP檔案并沒有對GET ,POST方式的請求進行來路攔截,導緻可以随意寫入其他的referer的網址,進行擷取使用者的個人資料,姓名,手機号等隐私的資訊.
那如何做好JSON網站的安全防護呢? 首先要對該json網站漏洞進行修複,限制referer的來路網址,如果該網站域名沒有在白名單中,那麼就将使用者的請求攔截掉,并傳回攔截的錯誤提示.再一個可以使用token動态值來加強網站的安全,對于使用者的每一次資料請求就行token比對與安全效驗,這樣就可以杜絕網站受到JSON漏洞攻擊的影響.這隻是網站安全部署的一部分,想要網站更安全,避免被攻擊就得從多個方面進行安全設定與部署,網站安全了,帶來的也是客戶的認可與口碑,重視網站安全,從一點點的細節,以及從自身網站做起.