那些遇到过的问题

是否有可能XSS利用适当的JavaScript字符串转义来利用JSON响应

Chr*_*ord 39 javascript security xss jquery json

可以通过重写数组构造函数来利用JSON响应,或者如果恶意值不是JavaScript字符串转义的话.

让我们假设这两个向量都以正常方式处理.谷歌通过在所有JSON前加上以下内容来捕获JSON响应直接来源:

throw 1; < don't be evil' >
Run Code Online (Sandbox Code Playgroud)

然后是JSON的其余部分.因此,Evil博士不能,使用此处讨论的那种漏洞利用http://sla.ckers.org/forum/read.php?2,25788获取您的cookie(假设您已登录),将以下内容放在他的网站上:

<script src="http://yourbank.com/accountStatus.json">
Run Code Online (Sandbox Code Playgroud)

至于字符串转义规则,如果我们使用双引号,我们需要在每个前面加上反斜杠,每个反斜杠加上另一个反斜杠等.

但我的问题是,如果你正在做所有这些怎么办?

Burpsuite(自动安全工具)检测在JSON响应中返回unHTML转义的嵌入式XSS尝试,并将其报告为XSS漏洞.我有一份报告说我的应用程序包含此类漏洞,但我不相信.我已经尝试过了,我无法进行漏洞利用工作.

所以我不认为这是正确的,但我问你StackOverflow社区,要权衡.

有一个特定的案例,IE MIME类型嗅探,我认为可能会导致漏洞利用.毕竟,IE 7仍然具有"功能",无论Content-Type标头如何,都会执行嵌入在图像注释中的脚本标签.我们首先要抛开这种明显愚蠢的行为.

当然,根据旧的默认jQuery行为,JSON将由本机JavaScript解析器(Firefox中的Window.JSON)或eval()解析.在任何情况下,以下表达式都不会导致执行警报:

{"myJSON": "legit", "someParam": "12345<script>alert(1)</script>"}
Run Code Online (Sandbox Code Playgroud)

我是对的还是我错的?

roo*_*ook 28

使用正确的方法可以避免这种潜在的xss漏洞Content-Type.基于RFC-4627,所有JSON响应都应该使用该application/json类型.以下代码不容易受到 xss的影响,请继续测试它:

<?php
header('Content-type: application/json'); 
header("x-content-type-options: nosniff");
print $_GET['json'];
?>
Run Code Online (Sandbox Code Playgroud)

nosniff头用于禁用内容嗅探旧版本的Internet Explorer.另一种变体如下:

<?php
header("Content-Type: application/json");
header("x-content-type-options: nosniff");
print('{"someKey":"<body onload=alert(\'alert(/ThisIsNotXSS/)\')>"}');
?>
Run Code Online (Sandbox Code Playgroud)

当浏览器查看上述代码时,系统会提示用户下载JSON文件, 而现代版本的Chrome,FireFox和Internet Explorer上未执行JavaScript. 这将是RFC违规.

如果您eval()对上面的JSON 使用JavaScript 或将响应写入页面,那么它将成为基于DOM的XSS.基于DOM的XSS通过在对此数据执行操作之前清理JSON来修补客户端.

Ale*_*dev 7

Burpsuite(自动安全工具)检测在JSON响应中返回unHTML转义的嵌入式XSS尝试,并将其报告为XSS漏洞.

也许它试图阻止OWASP XSS备忘单规则3.1中描述的漏洞.

他们给出了以下易受攻击代码的示例:

<script>
    var initData = <%= data.to_json %>;
</script>
Run Code Online (Sandbox Code Playgroud)

即使双引号,斜杠和换行符被正确转义,如果它嵌入在HTML中,你可以突破JSON:

<script>
    var initData = {"foo":"</script><script>alert('XSS')</script>"};
</script>
Run Code Online (Sandbox Code Playgroud)

jsFiddle.

to_json()函数可以通过在每个斜杠前加一个反斜杠来阻止此问题.如果在HTML属性中使用JSON,则必须对整个JSON字符串进行HTML转义.如果它在href="javascript:"属性中使用,则必须进行URL转义.

Chr*_*ord 0

根据记录,虽然我接受了一个答案,但对于我所问的确切字面问题,我是对的,并且由于 JSON 值中存在非 HTML 转义但正确的 JSON 转义 HTML,因此不存在漏洞。如果在没有客户端转义的情况下将该值插入到 DOM 中,则可能存在错误,但 Burpsuite 几乎没有机会仅通过查看网络流量来知道是否会发生这种情况。

在确定这些情况下什么是安全漏洞的一般情况下,认识到虽然这可能不是一个好的设计,但可以合法地知道 JSON 值的响应内容肯定不包含用户输入,并且旨在已呈现 HTML,以便安全地插入未转义的 DOM 中。正如我在另一条评论中提到的,逃避它将是一个(非安全)错误。

归档时间:

查看次数:

62273 次

最近记录:

6 年,11 月 前
为什么人们把代码放在"抛出1; <不要是邪恶的>"和"for(;;);"之类的代码中.在json面前回应? 210
更多相关链接
相关归档
如何在Visual Studio 2017中禁用Javascript Build错误? 158
IE8的意外缓存导致IE8 135
如何使用Jackson将JSON字符串解析为数组 90
在JavaScript中为'attribute'设置HTML <label>' 70
使用boost序列化和反序列化json 66
动态识别重复 47
JavaScript检测有效日期 37
跟踪Google Analytics中的所有出站链接 17
重命名Spring中MappingJacksonJsonView使用的JSON字段 16
使用authlogic_api进行Rails REST API访问 7
难疑归档
如何在Java中读取/转换InputStream为String? 3864
什么是serialVersionUID,我为什么要使用它? 2880
我怎么知道通过jQuery选择了哪个单选按钮? 2583
如何从YouTube API获取YouTube视频缩略图? 2291
Java中的"实现Runnable"与"扩展线程" 2023
如何在macOS或OS X上安装pip? 1676
使用jQuery将表单数据转换为JavaScript对象 1580
在Git中撤消一个文件的工作副本修改? 1550
在Python中反转一个字符串 1288
如何在JavaScript正则表达式中访问匹配的组? 1277