基于AST的JSONP劫持自動化挖掘該怎么理解

基于AST的JSONP劫持自動化挖掘該怎么理解，相信很多沒有經驗的人對此束手無策，為此本文總結了問題出現的原因和解決方法，通過這篇文章希望你能解決這個問題。

0x01 JSONP劫持簡介

JSONP利用 script標簽的跨域能力實現跨域數據的訪問。請求動態生成的JS腳本同時帶一個callback函數名作為參數。服務端收到請求后，動態生成腳本產生數據，并在代碼中以產生的數據為參數調用callback函數。

JSONP劫持，就是在受害不知情的情況下，訪問了攻擊者的網站，攻擊者通過JSONP接口獲取用戶在其它網站的敏感信息。

因此通常用做：

• 敏感信息泄露引發的精準詐騙。

• 防守方的溯源能力之一，如在蜜罐中獲取攻擊者畫像。

0x02 AST簡介

AST (Abstract Syntax Tree，抽象語法樹) 是源代碼語法結構的一種抽象表示。它以樹狀的形式表現編程語言的語法結構。因此相同含義的代碼，即使在不同形式的實現方式下，在AST層面是統一的。

在 AST 層面的統一和一致，是傳統的正則匹配所做不到的。使我們可以很輕易的解決下面幾種情況：

callback({"username":"xray"});
callback({"data": {username:"xray"}});
/*aa*/ window.cb && window.cb({"username":"xray"})
callback([{"info": {"username": "array"}}])
cb('  {"username":"xray"}  ')
a={"username": "xray"}; cb({"s": a})

0x03 JSONP漏洞挖掘

Koalr師傅的分享非常好 https://koalr.me/post/a-tour-of-xray/。

手工挖掘JSONP漏洞時，主要分為以下幾步：

1. 找jsonp接口

2. 檢查響應是否包含敏感信息

3. 繞referer

在做自動化挖掘時，我們應該主要考慮以下幾個問題：

1. 優秀的爬蟲(使用crawlergo)

2. 篩出js資源：通過content-type即可判斷。參考chrome。https://github.com/chromium/chromium/blob/fc262dcd403c74cf3e22896f32d9723ba463f0b6/third_party/blink/common/mime_util/mime_util.cc#L42

   const char* const kSupportedJavascriptTypes[] = {
       "application/ecmascript",
       "application/javascript",
       "application/x-ecmascript",
       "application/x-javascript",
       "text/ecmascript",
       "text/javascript",
       "text/javascript1.0",
       "text/javascript1.1",
       "text/javascript1.2",
       "text/javascript1.3",
       "text/javascript1.4",
       "text/javascript1.5",
       "text/jscript",
       "text/livescript",
       "text/x-ecmascript",
       "text/x-javascript",
   };

3. 解析js類型資源，檢查query中的每個key，是否滿足jsonp的特征。正則大法好：

   (?m)(?i)(callback)|(jsonp)|(^cb$)|(function)

4. referer配置為同域，請求js獲取響應。

5. 將JSONP響應解析成AST，如果生成的AST滿足以下條件即可認定存在JSONP漏洞。

   一、Callee.Name == callback函數名

   二、檢查是否存在敏感信息：遞歸遍歷AST 獲取所key和value，是否滿足滿足正則(?m)(?i)(uid)|(userid)|(user_id)|(nin)|(name)|(username)|(nick)，且value不為空

6. 替換Referer后再請求一次，重新驗證步驟5。

0x04 工具使用方式

通過golang實現了以上邏輯：https://github.com/jweny/check_jsonp_based_on_ast

本組件未單獨提供爬蟲，須結合爬蟲使用（推薦crawlergo），將爬蟲的js資源直接用工具檢測即可。

項目中提供了一個jsonp的漏洞環境，如需自取。

入參：js uri

返回：是否存在漏洞（bool型，true為存在漏洞），err

例：

result, err := CheckSenseJsonp("http://127.0.0.1/jsonp_env/getUser.php?id=1&jsoncallback=callbackFunction")

看完上述內容，你們掌握基于AST的JSONP劫持自動化挖掘該怎么理解的方法了嗎？如果還想學到更多技能或想了解更多相關內容，歡迎關注億速云行業資訊頻道，感謝各位的閱讀！