网站安全联盟提醒站长:javascript脚本网站安全需提防JSON劫持

  大家网站都有javascript脚本代码,前几年对脚本的利用大多是做跨站脚本攻击,危害性很大,当然现在很多网站也存在这样的问题。但在EeSafe网站安全联盟中最近几个月接触的利用脚本进行攻击却都集中在一个新的攻击技术上——JSON劫持。可能大家对这个比较陌生,但应该都知道AJAX技术吧,JSON利用的就是AJAX技术的缺陷对网站进行攻击。据我们的统计,现在这种攻击的成功率在70%以上,对攻击者来讲,成效已经很好了。

  JSON攻击是怎样来的?

  首先看利用AJAX传输数据到前台的形式

  

  看起来很简单,JSON攻击就是要在数据被使用之前劫持它们。

  攻击者在AJAX的回调函数中进行重载,就能够在使用前劫持到这些数据进行修改从而利用,所以如果你的网站使用AJAX技术,那就要特别注意了,很有可能会受到这样的攻击。

  怎样防范,增加一个Conten-Type的header标签,当这个值是application/json时,网站的AJAX服务才会接受这个请求。这样就能起到防御JSON劫持攻击的作用。

  EeSafe网站安全联盟原创文章

  转载请以链接形式注明原文地址:http://www.eesafe.com/bbs/thread-1392-1-1.html

时间: 2025-01-21 05:07:55

网站安全联盟提醒站长:javascript脚本网站安全需提防JSON劫持的相关文章

网站安全联盟:站长如何应对DDOS攻击系列教程(三)

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 现在网络上DDOS攻击已经是司空见惯了,针对于网站的DDOS攻击大多基于脚本页面,也就是常说的cc攻击.从去年到今年,eesafe针对cc攻击给好多网站做过技术支撑,同行业和同类型网站相互攻击已经是不成文的竞争机制.如何能在这样的环境中让网站正常运行,大多数站长很头疼,碰到问题找我们帮忙.我想为什么不把网站安全联盟的cc解决方案整理一下让大家

网站安全联盟:站长如何应对DDOS攻击系列教程(四)

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 在网站发生DDOS拒绝服务攻击时,EeSafe在帮助网站解决时采用的方法中确定DDOS攻击类型是第二个环节,也是在解决DDOS中承上启下的一步. 那当前网站安全联盟将遇到的拒绝服务攻击分为以下主要的三类: 1.经升级和变化的SYN攻击 这种攻击对基于提供端口提供服务的网站最有效,可以说它能够通杀各种服务器操作系统的网络服务.其原理是利用僵尸网

网站安全联盟:站长如何应对DDOS攻击系列教程(一)

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 上次说到网站安全联盟在帮助网站解决DDOS 攻击时采用的方法:首先确定网站遭到的攻击是 DDOS;再确定DDOS攻击的类型,并构建防御体系;之后是实施防御体系,查看效果并调整防御体系. 那如何确定网站遭到的攻击是DDOS呢,归纳来讲,在遭到DDOS攻击时,大致会出现以下几个症状,可以说如果网站服务器出现了下面所有的症状,那网站基本上可以确定是

网站安全联盟:站长如何应对DDOS攻击系列教程(二)

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 做了多年网站,经历过网站遭受攻击的情况,一开始也摸不着头绪,后来在不断的学习摸索中,渐渐地学会了一些判定攻击类型的方法. 今天先和大家分享三招判定DDOS攻击的方法,都是我自己总结出的经验,有什么好想法可以和我交流. 1.判断和服务器的数据交互速度.如使用ping命令. Ping www.xxx.com –t 含义是一直不停向网站服务发送并接

钟智鑫:浅析站长资讯类网站吸引广告商的原因

中介交易 SEO诊断 淘宝客 云主机 技术大厅 站长资讯类网站相信大家都不陌生,数量有N多个这类网站,目前做的比较大的有A5等.几乎每一个站长类网站都有相当的广告商在其中投放广告,而且广告商会以不同的方式在这类网站上投放广告,比如文字广告,比如软文,比如横幅广告,比如CPS等等,那么为什么这些广告商青睐站长资讯类网站呢?主要有以下三点原因: 一:站长资讯网不仅仅只针对站长 站长资讯网涉及面广,网站的内容往往涉及到互联网的方方面面,不仅仅是广大站长们经常光顾的网站,还有很多各种查看资料的IT人士都

政府网站应该由草根站长负责

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 曾经看到过一篇新闻报道,说是逾6成民众对政府网站不满意,理由有服务实用性差.长期"休眠"不更新.网站逾政务"两张皮"问题仍然严重等. 我从来不关心政府网站,看新闻了解政策的话还不如直接去门户网站来的更快更直接,所以我对政府网站的种种弊端不甚了解,没想到,这几天由于报考三支一扶(短暂性解决大学生就业问题)

用JavaScript脚本制作自己的色谱图

javascript|脚本 网站用色是网站建设必须认真考虑的重要问题.网站的色彩运用往往能够体现一个网站的特色和艺术风格.因此,在设计网页时常常需要设置网页背景或其它网页元素的颜色,而网页设计软件(如Dreamweaver)的调色板一般只有200多种色样供选择.如果你在设计网页时比较考究用色,可以使用JavaScript脚本制作自己的色谱,这将给你的设计工作带来很大的方便. 网站用色是网站建设必须认真考虑的重要问题.网站的色彩运用往往能够体现一个网站的特色和艺术风格.因此,在设计网页时常常需要设

百度联盟为站长谋福利百度统计功能再升级

5月12日消息,百度公司日前宣布,作为新一代网站流量数据统计管理平台,该公司研发的百度统计已再次完成全面性的功能升级.升级后的百度统计将更加凸显其稳定.快速.专业.免费的显著优势,为广大联盟站长及网站管理员在优化网站.监测网站的真实流量,提供更高效更稳定的支持. 百度公司早在去年7月高调发布百度统计这一功能性统计服务系统,该系统可帮助站长跟踪分析每一个用户在企业网站上的行为,帮助站长改善网站建设以及调整搜索推广策略. 据悉,本次重大升级后,百度统计已经实现了实时统计,增加了IP统计,能够帮助站长

DedeCMS曝SQL注入漏洞 360提醒站长速打补丁

中介交易 SEO诊断 淘宝客 云主机 技术大厅 近日,知名第三方漏洞报告平台乌云曝光建站工具DedeCMS系统反馈页面存在SQL注入高危漏洞(http://www.wooyun.org/bugs/wooyun-2012-014076 ),攻击者可以轻易获取网站管理员密码, 网站数据面临"拖库"威胁.经360网站安全检测(WebScan)对注册用户的分析研究发现,86%使用DedeCMS的网站存在该漏洞,危害范围十分广泛. 360网站安全检测服务网址:http://webscan.360