JSON劫持攻击[汇总]

---

title: JSON劫持攻击[汇总]
copyright: true
top: 0
date: 2018-08-14 09:58:52
tags: JSON劫持
categories: 渗透测试
permalink:
password:
keywords:
description: JSON是一种轻量级的数据交换格式，而劫持就是对数据进行窃取。

你感觉到了吗？我的血液是热的，可我的心是冷的

JSON 劫持又为“ JSON Hijacking ”，最开始提出这个概念大概是在 2008 年国外有安全研究人员提到这个 JSONP 带来的风险。其实这个问题属于 CSRF（ Cross-site request forgery 跨站请求伪造）攻击范畴。当某网站听过 JSONP 的方式来快域（一般为子域）传递用户认证后的敏感信息时，攻击者可以构造恶意的 JSONP 调用页面，诱导被攻击者访问来达到截取用户敏感信息的目的。

漏洞原理

JSON实际应用的时候会有两种传输数据的方式：

xmlhttp获取数据方式：

{"username":"wooyun","password":"wooyun"}

当在前端获取数据的时候，由于数据获取方