您好,登錄后才能下訂單哦!
這期內容當中小編將會給大家帶來有關針對于JSON網站的安全解決方案是什么,文章內容豐富且以專業的角度為大家分析和敘述,閱讀完這篇文章希望大家可以有所收獲。
網站,APP越來越多,安全問題也面臨著嚴重挑戰,我們SINE安全在對客戶網站做安全服務的同時,發現很多客戶網站都有使用JSON的交互方式來進行數據的傳輸,包括JSON調用,在使用JSON同時發生的安全問題以及如何做好JSON的網站安全防護,下面我們跟大家來分享一下.
首先我們要理解一下什么是JSON?
簡單通俗的來說,JSON是JS對象的一個類,是一種很簡單,很快捷的數據交換方式,在JS的寫作規則方面基本上是一致的,用單獨的格式來存儲數據與展示數據,數據交互過程中很明了,很清晰,層次感較強,使得很多網站的開發人員來使用,促使網站更方便的與客戶進行交互.
那么在實際的網站安全部署中,我們SINE安全老于跟大家講過一個同源的策略,那老于為何老提這個策略是因為他牽扯到的網站安全很重要,有些客戶網站使用的是jsonp,什么是同源策略,就是服務器IP,訪問端口,網址,一定是一樣的,簡單講就是www.baidu.com和他同源的只能是www.baidu.com,這就是jsonp為何與json的不同,很簡單就能很輕易的分辨開。
什么是JSON了.JSONP是一種傳輸的數據協議,是在JSON之上的一種演變模式,大部分的瀏覽器都有同源策略的安全限制,像1.baidu.com跟2.baidu.com是沒有辦法通信的,但有一個好處就是可以調用同一個JS文件,不受同源安全策略的限制.
這里我們詳細的講解了什么是JSON,以及如何區分JSONP.那么使用了這些JS的傳輸方式會有哪些網站安全問題呢?目前我們SINE安全監測中心,以及實際滲透測試中發現都是CSRF劫持漏洞,有些金融網站,APP使用的 JSONP協議的時候,我們發現可以利用JSONP漏洞來獲取機密的數據,包括一些可以越權,獲取管理員權限才能看到的一些用戶資料.造成該漏洞的主要原因是沒有對來源referer進行安全檢測,攻擊者可以偽造任意的網站地址進行訪問,請求JSONP數據,導致漏洞的發生.安全舉例:個人的用戶資料訪問地址是yonghu.php,該PHP文件并沒有對GET ,POST方式的請求進行來路攔截,導致可以隨意寫入其他的referer的網址,進行獲取用戶的個人資料,姓名,手機號等隱私的信息.
那如何做好JSON網站的安全防護呢? 首先要對該json網站漏洞進行修復,限制referer的來路網址,如果該網站域名沒有在白名單中,那么就將用戶的請求攔截掉,并返回攔截的錯誤提示.再一個可以使用token動態值來加強網站的安全,對于用戶的每一次數據請求就行token比對與安全效驗,這樣就可以杜絕網站受到JSON漏洞攻擊的影響.這只是網站安全部署的一部分,想要網站更安全,避免被攻擊就得從多個方面進行安全設置與部署,如果您對自己的網站安全不知道該如何做的話,可以找專業的網站安全公司來進行防護,國內SINESAFE,啟明星辰,綠盟,都是比較不錯的網絡安全公司,網站安全了,帶來的也是客戶的認可與口碑,重視網站安全,從一點點的細節,以及從自身網站做起.
上述就是小編為大家分享的針對于JSON網站的安全解決方案是什么了,如果剛好有類似的疑惑,不妨參照上述分析進行理解。如果想知道更多相關知識,歡迎關注億速云行業資訊頻道。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。