JSONP Hijackin攻擊詳解

JSONP Hijackin的中文意思是JSON劫持，而能產生JSON數據劫持的緣由在於前端被跨站攻擊了。跨站=跨域，跨域從字面上理解的話，就是指超出了範圍、領域。繼續追問一下，那超出了什麼範圍？原來指的範圍有多大？理解跨站攻擊的基礎在於理解這個域有多大。爲了更準確的理解JSON Hijackin攻擊，建議讀者能夠先了解一下以下幾個背景知識：

• 域概念 （下文會介紹）
• JSON （搜索引擎查一下）
• 接口回調 （建議看我以前的文章：http://www.javashuo.com/article/p-nhfgbtmv-eh.html）

域概念解釋

在計算機領域裏不少地方都會用到這個域，而不一樣地方所包含的含義倒是不相同的，好比說寫代碼定義的變量有做用域，在局域網建設中有網絡域，Internet有一項核心服務是域名解析系統（DNS）。本文所討論的域就是指DNS的域名。

DNS的工做原理：
在全球各地有衆多服務器（分佈式），在這些服務器裏面都同步的保存着域名和IP的一一映射，這樣人們就能夠不用記住枯燥的IP地址，只記住有意思的單詞域名就好了。

域介紹：
域經過一個點.來來分開一個域。域名不區分大小寫，有惟一性，跟身份證號同樣，是獨一無二點。

域分類：
域名又分頂級域名和其它域名，頂級域名就是以下這些，被預先定義好的，

能夠理解爲世界上有一個組織專門在管理、維護這些頂級域名。

其它域名指二級域、三級域、四級域、五級域（通常不超過五級域），二級域就是指靠近頂級域的域名，以下圖：

高級域包含低級域。

各個頂級域名下的二級域名通常須要花錢去申請，申請到一個二級域以後，你就能夠經過配置DNS的CNAME記錄來配置三級域，四級域，五級域的指向。

跨域請求的需求

跨域請求的場景指在前端瀏覽器發生，指前端瀏覽器跨了域名、端口的請求，就是跨域請求，看看我下面的實驗：

會發現瀏覽器爲了本地Cookie安全的考慮，都會禁止這種跨域請求的操做。可是有時一些業務確實會須要到這種跨域請求呀，好比說百度公司開發了一個home.baidu.com站點，他們想用戶已經在本地瀏覽器登陸過了個人首頁百度了，能不能讓home站點跨域去訪問一下www站點的接口，讓登陸數據互通一下，避免麻煩用戶屢次登陸的麻煩。那這個跨站怎麼解決呢？

解決方式不少，下面列舉3個我知道的：

• 經過Nginx設置反向代理來解決跨域問題。（這裏不討論）
• 修改響應頭方式：Access-Control-Allow-Origin （這裏不討論）
• JSONP方式（其存在的意義就是繞過同源策略，來強制執行XMLHttpRequest(AJAX requests)）

JSONP方式解決跨域請求

JSONP怎麼解決跨域請求？我沒研究那麼細，可是知道這個現象，就是經過網頁的中的href="https://xxx.xxx.com"、src="https://xxx.xxx.com"這種標籤是能夠任意進行請求跨域的資源文件的。也就意味着JSONP存在的意義就是繞過同源策略，來強制執行XMLHttpRequest(AJAX requests)的。

JSONP跨域請求，經過回調傳回前端的案例

前端html代碼：

<meta content="text/html; charset=utf-8" http-equiv="Content-Type" /> 
<script type="text/javascript"> 
    function jsonpCallback(result) { 
        alert(result.a); 
        alert(result.b);
        alert(result.c); 
        for(var i in result) { 
            alert(i+":"+result[i]);//循環輸出a:1,b:2,etc. 
        } 
    } 
</script> 
<script type="text/javascript" src="http://crossdomain.com/services.php?callback=jsonpCallback"></script>

後端的php代碼：

<?php 
//服務端返回JSON數據 
$arr=array('a'=>1,'b'=>2,'c'=>3,'d'=>4,'e'=>5); 
$result=json_encode($arr); 
//echo $_GET['callback'].'("Hello,World!")'; 
//echo $_GET['callback']."($result)";
//動態執行回調函數 
$callback=$_GET['callback']; 
echo $callback."($result)";
?>

能夠看到，前端先是定義了jsonpCallback函數來處理後端返回的JSON數據，而後利用script標籤的src屬性跨域獲取數據（前面說到帶src屬性的html標籤均可以跨域），而且把剛纔定義的回調函數的名稱傳遞給了後端，因而後端構造出「jsonpCallback({「a」:1, 「b」:2, 「c」:3, 「d」:4, 「e」:5})」的函數調用過程返回到前端執行，達到了跨域獲取數據的目的。

一句話描述JSONP：前端定義函數卻在後端完成調用而後回到前端執行！

JSONP引起的安全問題

JSONP方式雖然解決了跨域請求，可是若是使用不當的話，就會存在有JSONP Hijackin劫持攻擊問題，好比說這個場景：當用戶經過身份認證以後，前端會經過JSONP的方式從服務端獲取該用戶的隱私數據，而後在前端進行一些處理，如個性化顯示等等。這個JSONP的調用接口若是沒有作相應的防禦，就容易受到JSONP HiJacking的攻擊。

攻擊者在他的服務器中製做一個惡意網頁，誘惑用戶點擊這個網頁的連接，只要這個受害的用戶以前登陸過某網站，那麼攻擊者就能經過這種方式拿到用戶的敏感信息。

以http://api.money.126.net/data/feed/0000002,1399010這個返回股票信息的json接口爲例，模擬一下攻擊流程。

用戶登陸了這個網頁（我設置了一個cookie爲testcookie=123456假設用戶登陸了）：

攻擊者製做的惡意代碼，誘惑用戶點擊：

<html>
<meta content="text/html; charset=utf-8" http-equiv="Content-Type" /> 
<script type="text/javascript"> 
    function hijack(result) { 
        console.log(result);
    }
</script> 
<script type="text/javascript" src="http://api.money.126.net/data/feed/0000002,1399010?callback=hijack"></script>
</html>

用戶點擊以後，本地的JS腳本就執行了（說明攻擊成功了）：

查看一下跨域請求所攜帶的cookie：

JSONP Hijacking怎麼檢測

查看登陸後的我的中心、須要登陸以後才能拿到敏感數據的接口，這些地方比較容易出現jsonp跨域劫持問題，經過瀏覽器開發者攻擊F12的Network工具欄，在filter過濾框中輸入xhr、jsonp、call關鍵字，查看結果。注意有些不是經過回調返回的，直接看返回respons。

查看該接口是否有敏感數據: https://xxx.xxx.com/xxx/user/userinfo

總結

JSONP Hijackin和XSS、CSRF有相相似的地方，都是攻擊前端用戶，拿到受害用戶的敏感數據，都須要用戶點擊一次惡意連接才能完成攻擊。不一樣的是他們的具體攻擊方法並不同。

修復方式

一些敏感的數據接口，除了了要校驗Cookie,還要想到前端會受到CSRF、JSONP Hijacking攻擊的危險，因此還須要校驗Referer、一次性Token令牌。

參考文章

http://www.javashuo.com/article/p-nxiicgsf-hm.html