網站防攻擊策略 針對於JSON網站的安全解決方案

網站,APP越來越多,安全問題也面臨著嚴重挑戰,我們SINE安全在對客戶網站做安全服務的同時,發現很多客戶網站都有使用JSON的互動方式來進行資料的傳輸,包括JSON呼叫,在使用JSON同時發生的安全問題以及如何做好JSON的網站安全防護,下面我們跟大家來分享一下.

首先我們要理解一下什麼是JSON?

簡單通俗的來說,JSON是JS物件的一個類,是一種很簡單,很快捷的資料交換方式,在JS的寫作規則方面基本上是一致的,用單獨的格式來儲存資料與展示資料,資料互動過程中很明瞭,很清晰,層次感較強,使得很多網站的開發人員來使用,促使網站更方便的與客戶進行互動.

那麼在實際的網站安全部署中,我們SINE安全老於跟大家講過一個同源的策略,那老於為何老提這個策略是因為他牽扯到的網站安全很重要,有些客戶網站使用的是jsonp,什麼是同源策略,就是伺服器IP,訪問埠,網址,一定是一樣的,簡單講就是www.baidu.com和他同源的只能是www.baidu.com,這就是jsonp為何與json的不同,很簡單就能很輕易的分辨開。

什麼是JSON了.JSONP是一種傳輸的資料協議,是在JSON之上的一種演變模式,大部分的瀏覽器都有同源策略的安全限制,像1.baidu.com跟2.baidu.com是沒有辦法通訊的,但有一個好處就是可以呼叫同一個JS檔案,不受同源安全策略的限制.

這裡我們詳細的講解了什麼是JSON,以及如何區分JSONP.那麼使用了這些JS的傳輸方式會有哪些網站安全問題呢?目前我們SINE安全監測中心,以及實際滲透測試中發現都是CSRF劫持漏洞,有些金融網站,APP使用的 JSONP協議的時候,我們發現可以利用JSONP漏洞來獲取機密的資料,包括一些可以越權,獲取管理員許可權才能看到的一些使用者資料.造成該漏洞的主要原因是沒有對來源referer進行安全檢測,攻擊者可以偽造任意的網站地址進行訪問,請求JSONP資料,導致漏洞的發生.安全舉例:個人的使用者資料訪問地址是yonghu.php,該PHP檔案並沒有對GET ,POST方式的請求進行來路攔截,導致可以隨意寫入其他的referer的網址,進行獲取使用者的個人資料,姓名,手機號等隱私的資訊.

那如何做好JSON網站的安全防護呢? 首先要對該json網站漏洞進行修復,限制referer的來路網址,如果該網站域名沒有在白名單中,那麼就將使用者的請求攔截掉,並返回攔截的錯誤提示.再一個可以使用token動態值來加強網站的安全,對於使用者的每一次資料請求就行token比對與安全效驗,這樣就可以杜絕網站受到JSON漏洞攻擊的影響.這只是網站安全部署的一部分,想要網站更安全,避免被攻擊就得從多個方面進行安全設定與部署,如果您對自己的網站安全不知道該如何做的話,可以找專業的網站安全公司來進行防護,國內SINESAFE,啟明星辰,綠盟,都是比較不錯的網路安全公司,網站安全了,帶來的也是客戶的認可與口碑,重視網站安全,從一點點的細節，以及從自身網站做起.

來自 “ ITPUB部落格 ” ，連結：http://blog.itpub.net/31542418/viewspace-2662447/，如需轉載，請註明出處，否則將追究法律責任。