JSON және XML арқылы шабуылдар
JSON немесе XML пішіміндегі сұрауларды өңдейтін веб-қосымшалар мен API интерфейстері де шабуылдарға осал, өйткені бұл пішімдердің кемшіліктері бар.
JSON
JSON (JavaScript Object Notation) қолданбалар арасындағы байланыс үшін пайдаланылатын жеңіл деректер алмасу пішімі болып табылады. Ол XML-ге ұқсас, бірақ қарапайым және JavaScript арқылы өңдеуге жақсырақ. Көптеген веб-қосымшалар бұл пішімді өзара деректер алмасу және деректерді сериялау/сериядан шығару үшін пайдаланады. Кейбір веб-қосымшалар пайдаланушы деректері сияқты маңызды ақпаратты сақтау үшін де JSON пайдаланады. Әдетте RESTful API және AJAX қолданбаларында қолданылады.
JSON көбінесе API интерфейстерімен байланысты, бірақ ол тіпті жалпы және белгілі веб-қосымшаларда жиі қолданылады. Мысалы, WordPress-тегі материалдарды өңдеу JSON пішімінде сұрауларды жіберу арқылы дәл орындалады:
JSON инъекциясы
Қарапайым серверлік JSON инъекциясын PHP-де келесідей жасауға болады:
Сервер пайдаланушы деректерін JSON жолы ретінде, соның ішінде тіркелгі түрін сақтайды;
Пайдаланушы аты мен құпия сөз санитарлық тазартусыз тікелей пайдаланушы енгізуінен алынады;
Сақталған жолды оқығанда, JSON талдаушысы (json_decode) екі тіркелгі жазбасын табады және соңғысын алады, пайдаланушы Джонға әкімші құқықтарын береді.
Қарапайым клиенттік JSON инъекциясы келесідей орындалуы мүмкін:
JSON ұрлау
JSON ұрлау – бұл шабуылдаушы веб-серверден веб-бағдарламаға жіберілген JSON деректерін ұстауға тырысатын тораптар аралық сұрауды жалған жасауға (CSRF) ұқсас шабуыл:
Шабуылшы зиянды веб-сайтты жасайды және мақсатты веб-бағдарламадан JSON деректеріне қол жеткізуге әрекеттенетін сценарийді өз кодына енгізеді;
Мақсатты веб-ресурспен әрекеттесетін пайдаланушы зиянды сайтқа кіреді (мысалы, әлеуметтік инженерия әдістері арқылы);
Бірдей түпнұсқалық саясат (SOP) кез келген басқа сайт контекстіндегі кез келген сайттан JavaScript қосуға және орындауға мүмкіндік беретіндіктен, пайдаланушы JSON деректеріне қол жеткізе алады;
Зиянды сайт JSON деректерін ұстайды.
Достарыңызбен бөлісу: |