JSON在网站安全维护中 该如何做安全防护与安全效验?



        网站,APP越来越多,安全问题也面临着严重挑战,我们SINE安全在对客户网站做安全服务的

同时,发现很多客户网站都有使用JSON的交互方式来进行数据的传输,包括
JSON调用,在使用JS

ON同时发生的安全问题以及如何做好JSON的网站安全防护,下面
我们跟大家来分享一下.
 
首先我们要理解一下什么是JSON?
 
简单通俗的来说,JSON是JS对象的一个类,是一种很简单,很快捷的数据交换方式,在JS的写作规则

方面基本上是一致的,用单独的格式来存储数据与展示数据,数据交互
过程中很明了,很清晰,层次感

较强,使得很多网站的开发人员来使用,促使网站更方
便的与客户进行交互.
 

 
那么在实际的网站安全部署中,我们SINE安全老于跟大家讲过一个同源的策略,那老于为何老提这个

策略是因为他牵扯到的网站安全很重要,有些客户网站使用的是
jsonp,什么是同源策略,就是服务器

IP,访问端口,网址,一定是一样的,简单讲就是
www.baidu.com和他同源的只能是www.baidu.com,

这就是jsonp为何与json的不同,
很简单就能很轻易的分辨开。

 
什么是JSON了.JSONP是一种传输的数据协议,是在JSON之上的一种演变模式,大部分的浏览器都有

同源策略的安全限制,像1.baidu.com跟2.baidu.com是没有办法通信
的,但有一个好处就是可以调用

同一个JS文件,不受同源安全策略的限制.

 
 
这里我们详细的讲解了什么是JSON,以及如何区分JSONP.那么使用了这些JS的传输方式会有哪些网

站安全问题呢?目前我们SINE安全监测中心,以及实际渗透测试中发
现都是CSRF劫持漏洞,有些金融

网站,APP使用的 JSONP协议的时候,我们发现可以利
用JSONP漏洞来获取机密的数据,包括一些可

以越权,获取管理员权限才能看到的一
些用户资料.造成该漏洞的主要原因是没有对来源referer进行

安全检测,攻击者可
以伪造任意的网站地址进行访问,请求JSONP数据,导致漏洞的发生.安全举例:个

的用户资料访问地址是www.safe.com/yonghu.php,该PHP文件并没有对GET ,POST方式的请

求进行来路拦截,导致可以随意写入其他的referer的网址,进行获取用户的
个人资料,姓名,手机号等隐

私的信息.

 

 
那如何做好JSON网站的安全防护呢? 首先要对该json网站漏洞进行修复,限制referer的来路网址

,如果该网站域名没有在白名单中,那么就将用户的请求拦截掉,
并返回拦截的错误提示.再一个可

以使用token动态值来加强网站的安全,对于用户
的每一次数据请求就行token比对与安全效验,这

样就可以杜绝网站受到JSON漏洞攻
击的影响.这只是网站安全部署的一部分,想要网站更安全,避

免被攻击就得从多个方面进行安全设置与部署,如果您对自己的
网站安全不知道该如何做的话,可

以找专业的网站安全公司来进行防护,国内
SINESAFE,启明星辰,绿盟,都是比较不错的网络安全

公司,网站安全了,带来的也是客户的认可与口碑,重视网站安全,从一点点的细节,以及从自身网

站做起.
分享: