这期内容当中小编将会给大家带来有关针对于JSON网站的安全解决方案是什么,文章内容丰富且以专业的角度为大家分析和叙述,阅读完这篇文章希望大家可以有所收获。
网站,应用越来越多,安全问题也面临着严重挑战,我们正弦安全在对客户网站做安全服务的同时,发现很多客户网站都有使用JSON的交互方式来进行数据的传输,包括JSON调用,在使用JSON同时发生的安全问题以及如何做好JSON的网站安全防护、下面我们跟大家来分享一下。
首先我们要理解一下什么是JSON ?
简单通俗的来说,JSON是JS对象的一个类,是一种很简单,很快捷的数据交换方式,在JS的写作规则方面基本上是一致的,用单独的格式来存储数据与展示数据,数据交互过程中很明的了,很清晰,层次感较强,使得很多网站的开发人员来使用,促使网站更方便的与客户进行交互。
那么在实际的网站安全部署中,我们正弦安全老于跟大家讲过一个同源的策略,那老于为何老提这个策略是因为他牵扯到的网站安全很重要,有些客户网站使用的是jsonp,什么是同源策略,就是服务器IP、访问端口,网址,一定是一样的,简单讲就是www.baidu.com和他同源的只能是www.baidu.com,这就是jsonp为何与JSON的不同,很简单就能很轻易的分辨开。
什么是JSON了.JSONP是一种传输的数据协议,是在JSON之上的一种演变模式,大部分的浏览器都有同源策略的安全限制,像baidu.com 1.跟2. baidu.com是没有办法通信的,但有一个好处就是可以调用同一个JS文件,不受同源安全策略的限制。
这里我们详细的讲解了什么是JSON,以及如何区分jsonp。那么使用了这些JS的传输方式会有哪些网站安全问题呢?目前我们正弦安全监测中心,以及实际渗透测试中发现都是CSRF劫持漏洞,有些金融网站,应用使用的JSONP协议的时候,我们发现可以利用JSONP漏洞来获取机密的数据,包括一些可以越权、获取管理员权限才能看到的一些用户资料。造成该漏洞的主要原因是没有对来源推荐人进行安全检测,攻击者可以伪造任意的网站地址进行访问,请求JSONP数据,导致漏洞的发生,安全举例:个人的用户资料访问地址是yonghu。php,该php文件并没有对GET、POST方式的请求进行来路拦截,导致可以随意写入其他的推荐人的网址,进行获取用户的个人资料,姓名,手机号等隐私的信息。
那如何做好JSON网站的安全防护呢?首先要对该json网站漏洞进行修复,限制推荐人的来路网址,如果该网站域名没有在白名单中,那么就将用户的请求拦截掉,并返回拦截的错误提示。再一个可以使用令牌动态值来加强网站的安全,对于用户的每一次数据请求就行牌比对与安全效验,这样就可以杜绝网站受到json漏洞攻击的影响。这只是网站安全部署的一部分,想要网站更安全,避免被攻击就得从多个方面进行安全设置与部署,如果您对自己的网站安全不知道该如何做的话,可以找专业的网站安全公司来进行防护,国内SINESAFE,启明星辰,绿盟,都是比较不错的网络安全公司,网站安全了,带来的也是客户的认可与口碑,重视网站安全,从一点点的细节,以及从自身网站做起。
上述就是小编为大家分享的针对于JSON网站的安全解决方案是什么了,如果刚好有类似的疑惑,不妨参照上述分析进行理解。如果想知道更多相关知识,欢迎关注行业资讯频道。
