服务器返回的数据是这样子的:
jQuery1102045087050669826567_1386230674292({'name':'abc', 'age':18})
浏览器会执行直接执行这个JS函数。
所以,如果在callback函数的名字上做点手脚,可以执行任意的JS代码。所以说callback名字一定要严格过滤。当然,callback函数的名字通常是程序自己控制的,但是不能排除有其它被利用的可能。那么callback函数的名字,如何过滤?应当只允许合法的JS函数命名,用正则来匹配应该是这样子的:
^[0-9a-zA-Z_.]+$
正则可能比较慢,可以写一个函数来判断:
static boolean checkJSONPCallbackName(String name) {
try {
for (byte c : name.getBytes("US-ASCII")) {
if ((c >= '0' && c = 'a' && c = 'A' && c
{
continue;
} else {
return false;
}
}
return true;
} catch (Throwable t) {
return false;
}
}
实际上对callback函数名字进行严格检验还有其它的一个好处,就是防范了很多UTF-7编码攻击。因为UTF-7编码的头部都是带有特殊字符的,如”+/v8″,”+/v9″,这样就过滤掉非法编码的请求了。
update: 2016-3-22
spring 4.1里有一个AbstractJsonpResponseBodyAdvice ,里面是用正则匹配来判断是否合法的jsonp函数名。
public abstract class AbstractJsonpResponseBodyAdvice extends AbstractMappingJacksonResponseBodyAdvice {
/**
* Pattern for validating jsonp callback parameter values.
*/
private static final Pattern CALLBACK_PARAM_PATTERN = Pattern.compile("[0-9A-Za-z_\\.]*");
jsonp的请求的验证
jsonp在使用的时候,还有容易犯的错误是没有验证用户的身份。
第一,操作是否是用户自己提交的,而不是别的网页用
这个漏洞在前几年很流行,比如qq邮箱的一个漏洞:http://www.wooyun.org/bugs/wooyun-2010-046
现在的浏览器都已经修复了,可以下载一个Firefox3.0版本来测试下。目前的浏览器在解析JSON Array字符串的时候,不再去触发setter函数了。但对于object.xxx 这样的设置,还是会触发。
IE的utf-7编码解析问题
这个漏洞也曾经很流行。利用的是老版的IE可以解析utf-7编码的字符串或者文件,绕过服务器的过滤。举个乌云上的例子:http://www.wooyun.org/bugs/wooyun-2011-01293
有这样的一个jsonp调用接口:
http://jipiao.taobao.com/hotel/remote/livesearch.do?callback=%2B%2Fv8%20%2BADwAaAB0AG0APgA8AGIAbwBkAHkAPgA8AHMAYwByAGkAcAB0AD4AYQBsAGUAcgB0ACgAMQApADsAPAAvAHMAYwByAGkAcAB0AD4APAAvAGIAbwBkAHkAPgA8AC8AaAB0AG0APg
url decoder之后是:
http://jipiao.taobao.com/hotel/remote/livesearch.do?callback=+/v8 +ADwAaAB0AG0APgA8AGIAbwBkAHkAPgA8AHMAYwByAGkAcAB0AD4AYQBsAGUAcgB0ACgAMQApADsAPAAvAHMAYwByAGkAcAB0AD4APAAvAGIAbwBkAHkAPgA8AC8AaAB0AG0APg
因为jsonp调用是直接返回callback包装的数据,所以实际上,上面的请求直接返回的是:
+/v8 +ADwAaAB0AG0APgA8AGIAbwBkAHkAPgA8AHMAYwByAGkAcAB0AD4AYQBsAGUAcgB0ACgAMQApADsAPAAvAHMAYwByAGkAcAB0AD4APAAvAGIAbwBkAHkAPgA8AC8AaAB0AG0APg-(调用结果数据)
IE做了UTF-7解码之后数据是这样子的:
(调用结果数据)
于是,就执行了XSS。
另外用IFrame也是可以的。但是我在IE8上测试,url的后缀需要是html才会触发。
IE把没有声明返回Content-Type的请求当做了”text/html”类型的,然后解析就有问题了。只要服务器端显式设置了Content-Type为”application/json”,则IE不会识别编码,就不会触发漏洞。所以说服务器端的Content-Type一定要设置对。尽管设置之后调试有点麻烦,但是却大大提高了安全性。
JSON格式设置为:”application/json”
JavaScript设置为:”application/x-javascript”
JavaScript还有一些设置为:”text/javascript”等,都是不规范的。
其它的一些东东
MongoDB注入
这个实际上就是JSON注入,简单的字符串拼接,可能会引发各种数据被修改的问题。
JSON解析库的问题
有些JSON库解析库支持循环引用,那么是否可以构造特别的数据,导致其解析失败?从而引起CPU使用过高,拒绝服务等问题?
FastJSON的一个StackOverflowError Bug:https://github.com/alibaba/fastjson/issues/76
有些JSON库解析有问题:http://www.freebuf.com/articles/web/10672.html
JSON-P
有人提出一个JSON-P的规范,但是貌似目前都没有浏览器有支持这个的。原理是对于JSONP请求,浏览器可以要求服务器返回的MIME是”application/json-p”,这样可以严格校验是否合法的JSON数据。
CORS(Cross-Origin Resource Sharing)
为了解决跨域调用的安全性问题,目前实际上可用的方案是CORS:
原理是通过服务器端设置允许跨域调用,然后浏览器就允许XMLHttpRequest跨域调用了。
CORS可以发起GET/POST请求,不像JSONP,只能发起GET请求。
默认情况下,CORS请求是不带cookie的。
我个人认为,这个方案也很蛋疼,一是需要服务器配置,二是协议复杂。浏览器如果不能确定是否能够跨域调用,还要先进行一个Preflight Request。
实际上,即使服务器不允许CORS,XMLHttpRequest请求实际上是发送出去,并且返回数据的了,只是浏览器没有让JS环境拿到而已。
另外,我认为有另外一种数据泄露的可能:黑客可能控制了某个路由,他不能随意抓包,但是他可以在回应头里插入一些特别的头部,比如:
Access-Control-Allow-Credentials: true
那么,这时XMLHttpRequest请求就是带cookie的了。
最初的问题
回到最初的问题:
即使XMLHttpRequest是不带Cookie的,也是有可能造成数据泄露的。比如内部网站是根据IP限制访问的,如果XMLHttpRequest不遵守同源策略,那么攻击者可以在用户浏览网页的时候,发起请求,取得内部网站数据。
同域情况下会,不同域情况下不会。如果服务器设置Access-Control-Allow-Credentials: true ,也是可以跨域带Cookie的。
