Физика-математика факультеті
JSON және XML арқылы шабуылдар
жүктеу/скачать 27,2 Kb.
|
- Бұл бет үшін навигация:
- JSON инъекциясы
| JSON және XML арқылы шабуылдар
JSON немесе XML пішіміндегі сұрауларды өңдейтін веб-қосымшалар мен API интерфейстері де шабуылдарға осал, өйткені бұл пішімдердің кемшіліктері бар. JSON JSON (JavaScript Object Notation) қолданбалар арасындағы байланыс үшін пайдаланылатын жеңіл деректер алмасу пішімі болып табылады. Ол XML-ге ұқсас, бірақ қарапайым және JavaScript арқылы өңдеуге жақсырақ. Көптеген веб-қосымшалар бұл пішімді өзара деректер алмасу және деректерді сериялау/сериядан шығару үшін пайдаланады. Кейбір веб-қосымшалар пайдаланушы деректері сияқты маңызды ақпаратты сақтау үшін де JSON пайдаланады. Әдетте RESTful API және AJAX қолданбаларында қолданылады. JSON көбінесе API интерфейстерімен байланысты, бірақ ол тіпті жалпы және белгілі веб-қосымшаларда жиі қолданылады. Мысалы, WordPress-тегі материалдарды өңдеу JSON пішімінде сұрауларды жіберу арқылы дәл орындалады: JSON инъекциясы Қарапайым серверлік JSON инъекциясын PHP-де келесідей жасауға болады: Сервер пайдаланушы деректерін JSON жолы ретінде, соның ішінде тіркелгі түрін сақтайды; Пайдаланушы аты мен құпия сөз санитарлық тазартусыз тікелей пайдаланушы енгізуінен алынады; Сақталған жолды оқығанда, JSON талдаушысы (json_decode) екі тіркелгі жазбасын табады және соңғысын алады, пайдаланушы Джонға әкімші құқықтарын береді. Қарапайым клиенттік JSON инъекциясы келесідей орындалуы мүмкін: JSON ұрлау JSON ұрлау – бұл шабуылдаушы веб-серверден веб-бағдарламаға жіберілген JSON деректерін ұстауға тырысатын тораптар аралық сұрауды жалған жасауға (CSRF) ұқсас шабуыл: Шабуылшы зиянды веб-сайтты жасайды және мақсатты веб-бағдарламадан JSON деректеріне қол жеткізуге әрекеттенетін сценарийді өз кодына енгізеді; Мақсатты веб-ресурспен әрекеттесетін пайдаланушы зиянды сайтқа кіреді (мысалы, әлеуметтік инженерия әдістері арқылы); Бірдей түпнұсқалық саясат (SOP) кез келген басқа сайт контекстіндегі кез келген сайттан JavaScript қосуға және орындауға мүмкіндік беретіндіктен, пайдаланушы JSON деректеріне қол жеткізе алады; Зиянды сайт JSON деректерін ұстайды. жүктеу/скачать 27,2 Kb. Достарыңызбен бөлісу:
|