浅谈JSON劫持的危害性

  前几天发表了一篇标题为《javascript脚本网站安全需提防JSON劫持》的文章,好多站长反馈说通过网站安全检测发现自己的网站可能存在JSON劫持的问题,但是并不清楚JSON劫持会给网站带来多大的风险。也是我一时疏忽,上一篇文章光注重技术,未对JSON劫持的危害性进行解释,这里我把在网站安全联盟认证站长交流区提及的的关于JSON劫持危害的内容拿出来和大家交流一下,有什么不懂的,可以加群讨论219365452。

  JSON劫持主要能够造成的危害大概有这么几类:

  1、可能导致用户权限被盗用;

  攻击者通过JSON劫持构造盗取管理员或高权限用户的脚本,一旦被访问,权限立即被盗用。

  2、可以通过劫持对网页进行挂马;

  在JSON劫持点构造引向漏洞后门木马,但访问直接利用漏洞批量挂马。

  3、可对劫持页进行网站钓鱼;

  利用JSON劫持直接导向伪装网站地址。

  4、可做提权攻击;

  5、变种拒绝服务攻击;

  劫持后将流量导向受害网站,直接发动DDOS攻击。

  

  是不是危害很大了?所以大家应该尽快修复存在JSON劫持的页面,怎样修复我在前面提到的文章中都提到了。

  EeSafe网站安全联盟原创文章

  转载请以链接形式注明原文地址:http://www.eesafe.com/bbs/thread-1489-1-1.html

时间: 2024-10-31 04:20:33

浅谈JSON劫持的危害性的相关文章

浅谈JSON.stringify 函数与toJosn函数和Json.parse函数

原文:浅谈JSON.stringify 函数与toJosn函数和Json.parse函数 JSON.stringify 函数 (JavaScript)   语法:JSON.stringify(value [, replacer] [, space]) 将 JavaScript 值转换为 JavaScript 对象表示法 (Json) 字符串. value 必需. 要转换的 JavaScript 值(通常为对象或数组). replacer 可选. 用于转换结果的函数或数组. 如果 replacer

浅谈json

 1.从数据库中查询出来的数据,放在数组中   代码如下: $query=mysql_query($SQL); while($row = mysql_fetch_array($query)){ $xdata[]=$row['EventDate']; $ydata[]=intval($row['data']); }   2.将数据转成json   代码如下: $data_arr=array($xdata,$ydata) json_encode($data_arr);   3.HTML 页面中 AJ

浅谈JSON和JSONP区别及jQuery的ajax jsonp的使用_jquery

JSON和JSONP   JSON(JavaScript Object Notation)是一种轻量级的数据交换格式,用于在浏览器和服务器之间交换信息.   JSONP(JSON With Padding),就是打包在函数调用中的的JSON(或者包裹的JSON).   JSON是一种数据格式,JSONP是一种数据调用方式.   复制代码 代码如下:  //JSON  {  "name": "sb"  } 复制代码 代码如下:  //JSONP  callback({

浅谈JSON.stringify()和JOSN.parse()方法的不同_javascript技巧

今天终于把JSON.stringify()跟JSON.parse()这两个方法给搞清楚了,下面小编在此记录下! JSON.tringify():把一个json数据转化成JSON string JSON.stringify({uno:1,dos:2},null,'\t') "{ "uno": 1, "dos": 2 }" JSON.stringfy({uno:1,dos:2}) JSON.stringify({uno:1,dos:2}) "

浅谈JSON中stringify 函数、toJosn函数和parse函数_json

JSON.stringify 函数 (JavaScript) 语法:JSON.stringify(value [, replacer] [, space]) 将 JavaScript 值转换为 JavaScript 对象表示法 (Json) 字符串. 复制代码 代码如下: value 必需. 要转换的 JavaScript 值(通常为对象或数组). replacer 可选. 用于转换结果的函数或数组. 如果 replacer 为函数,则 JSON.stringify 将调用该函数,并传入每个成员

浅谈JSON.parse()和JSON.stringify()_javascript技巧

1.parse 用于从一个字符串中解析出json 对象.例如 var str='{"name":"cpf","age":"23"}' 经 JSON.parse(str) 得到: Object: age:"23" name:"cpf" _proto_:Object ps:单引号写在{}外,每个属性都必须双引号,否则会抛出异常 2.stringify用于从一个对象解析出字符串,例如 var

浅谈Java后台对JSON格式的处理操作_java

1. 将对象转换为JSON字符串,返回值为一个JSON字符串 public static String toJson(Object value) { try { return mapper.writeValueAsString(value); } catch (Exception e) { e.printStackTrace(); } return null; } 2.  将JSON字符串转换为实体对象,返回值为实体对象 public static <T> T toObject(String

浅谈关于JavaScript API设计的一些建议和准则

  这篇文章主要介绍了浅谈关于JavaScript API设计的一些建议和准则,文中列举了许多知名的JS API进行辅助说明,极力推荐!需要的朋友可以参考下 设计是一个很普遍的概念,一般是可以理解为为即将做的某件事先形成一个计划或框架. (牛津英语词典)中,设计是一种将艺术,体系,硬件或者更多的东西编织到一块的主线.软件设计,特别是作为软件设计的次类的API设计,也是一样的.但是API设计常常很少关注软件发展,因为为其他程序员写代码的重要性要次于应用UI设计和最终用户体验. 但是API设计,作为

浅谈ASP.NET MVC 3中如何使用Model

昨天博客发了新文章,讲一下我对如何使用MVC中的Model的看法,不是什么大技术,当是一个技术讨论^^ 原文地址:http://www.youguanbumen.net/Article.aspx?id=79 原文: 前两天写了个文章ASP.NET MVC 3 -- Model远程验证,主要记录了一下ASP.NET MVC 3中新增的RemoteAttribute类的使用,得益于这个类,我们可以在模型中为属性配置客户端远程校验的业务,文章中给了出一个简单的实体类MyUser_Add,举了一个最常见