崇左信息港
时尚
当前位置:首页 > 时尚

网站安全联盟提醒站长javascript

发布时间:2019-06-26 12:15:11 编辑:笔名

大家站都有javascript脚本代码,前几年对脚本的利用大多是做跨站脚本攻击,危害性很大,当然现在很多站也存在这样的问题。但在EeSafe站安全联盟中近几个月接触的利用脚本进行攻击却都集中在一个新的攻击技术上JSON劫持。可能大家对这个比较陌生,但应该都知道AJAX技术吧,JSON利用的就是AJAX技术的缺陷对站进行攻击。据我们的统计,现在这种攻击的成功率在70%以上,对攻击者来讲,成效已经很好了。

JSON攻击是怎样来的?

首先看利用AJAX传输数据到前台的形式

看起来很简单,JSON攻击就是要在数据被使用之前劫持它们。

攻击者在AJAX的回调函数中进行重载,就能够在使用前劫持到这些数据进行修改从而利用,所以如果你的站使用AJAX技术,那就要特别注意了,很有可能会受到这样的攻击。

怎样防范,增加一个Conten-Type的header标签,当这个值是application/json时,站的AJAX服务才会接受这个请求。这样就能起到防御JSON劫持攻击的作用。

EeSafe站安全联盟原创文章

转载请以链接形式注明原文地址:


微商城怎么样
微信怎么创建小程序
怎样在做微商城
友情链接