专栏首页网站漏洞修补网站安全防护 该如何对JSON做安全部署
原创

网站安全防护 该如何对JSON做安全部署

网站,APP越来越多,安全问题也面临着严重挑战,我们SINE安全在对客户网站做安全服务的同时,发现很多客户网站都有使用JSON的交互方式来进行数据的传输,包括JSON调用,在使用JSON同时发生的安全问题以及如何做好JSON的网站安全防护,下面我们跟大家来分享一下.

首先我们要理解一下什么是JSON?

简单通俗的来说,JSON是JS对象的一个类,是一种很简单,很快捷的数据交换方式,在JS的写作规则方面基本上是一致的,用单独的格式来存储数据与展示数据,数据交互过程中很明了,很清晰,层次感较强,使得很多网站的开发人员来使用,促使网站更方便的与客户进行交互.

那么在实际的网站安全部署中,我们SINE安全老于跟大家讲过一个同源的策略,那老于为何老提这个策略是因为他牵扯到的网站安全很重要,有些客户网站使用的是jsonp,什么是同源策略,就是服务器IP,访问端口,网址,一定是一样的,简单讲就是www.baidu.com和他同源的只能是www.baidu.com,这就是jsonp为何与json的不同,很简单就能很轻易的分辨开。

什么是JSON了.JSONP是一种传输的数据协议,是在JSON之上的一种演变模式,大部分的浏览器都有同源策略的安全限制,像1.baidu.com跟2.baidu.com是没有办法通信的,但有一个好处就是可以调用同一个JS文件,不受同源安全策略的限制.

这里我们详细的讲解了什么是JSON,以及如何区分JSONP.那么使用了这些JS的传输方式会有哪些网站安全问题呢?目前我们SINE安全监测中心,以及实际渗透测试中发现都是CSRF劫持漏洞,有些金融网站,APP使用的 JSONP协议的时候,我们发现可以利用JSONP漏洞来获取机密的数据,包括一些可以越权,获取管理员权限才能看到的一些用户资料.造成该漏洞的主要原因是没有对来源referer进行安全检测,攻击者可以伪造任意的网站地址进行访问,请求JSONP数据,导致漏洞的发生.安全举例:个人的用户资料访问地址是yonghu.php,该PHP文件并没有对GET ,POST方式的请求进行来路拦截,导致可以随意写入其他的referer的网址,进行获取用户的个人资料,姓名,手机号等隐私的信息.

那如何做好JSON网站的安全防护呢? 首先要对该json网站漏洞进行修复,限制referer的来路网址,如果该网站域名没有在白名单中,那么就将用户的请求拦截掉,并返回拦截的错误提示.再一个可以使用token动态值来加强网站的安全,对于用户的每一次数据请求就行token比对与安全效验,这样就可以杜绝网站受到JSON漏洞攻击的影响.这只是网站安全部署的一部分,想要网站更安全,避免被攻击就得从多个方面进行安全设置与部署,如果您对自己的网站安全不知道该如何做的话,可以找专业的网站安全公司来进行防护,国内SINESAFE,启明星辰,绿盟,都是比较不错的网络安全公司,网站安全了,带来的也是客户的认可与口碑,重视网站安全,从一点点的细节,以及从自身网站做起.

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 网站快照被劫持 快速恢复快照的解决办法

    哥们的网站流量突然下降的很厉害,从原先一天500左右的IP,直接下降到80左右的IP,让我帮忙看看,网站到底哪里出了问题,首先我用百度的site:下网站的收录量...

    技术分享达人
  • 网站在goole谷歌广告后显示已拒登:恶意软件或垃圾软件如何处理解决

    今年2020年3月20号,我们公司的国外网址在google adwords上线广告的时候,突然被提示拒登:恶意软件或垃圾软件,导致公司在网络营销上损失较大,每天...

    技术分享达人
  • 网站标题被篡改成北京赛车、PK10的解决处理办法漏洞修补

    客户网站于近日被跳转到赌博网站,打开后直接跳转到什么北京赛车,PK10等内容的网站上去,客户网站本身做了百度的推广,导致所有访问用户都跳转到赌博网站上去,给客户...

    技术分享达人
  • 业余草站长告诉你:网站被克隆了怎么办?

           最近在准备考试,想考一个信息系统项目管理师的证书,也就是大家所说的软考。有了这个证书呢,据说有很多好处,我闲着没事就报了名,而我的个人网站也没时间...

    业余草
  • 网站建设应该注意哪些规范?

    网站建设应该从一开始就计划好大部分内容与细节,深圳网站建设尤其注重定位与专注。一个网站可以有不同的产品,但一定要有相同的主题,卖网站主机空间的不能在网站同时放上...

    达沃斯分享
  • 给网站数据分析师的五个建议

    通常网站管理者都想通过网站分析来得到一定的效果,但不知道怎么做才好。实际上能否灵活的使用网站分析很大程度上取决于你如何利用网站分析。这里给大家介绍一下网站分析师...

    华章科技
  • 网站制作,网站策划不仅仅要考虑公司形象/业务还要考虑到SEO

    在企业网站制作前,网站策划的时候,网站制作商不单单要考虑的是企业本身的形象表现和业务展示,还要在一开始网站制作前,在策划阶段就将网站SEO考虑进去。这样制作出的...

    天津做网站-美耐思
  • 网站安全之公司网站被黑该如何处理

    2019年元旦很多公司遇到网站被黑的问题,因为大多数网站用的都是一些主流,开源的cms系统开发的程序,还有的公司找的当地网站建设公司去做的网站,而网站天天被黑的...

    技术分享达人
  • 网站排名为什么会下降,是什么原因导致排名下降的

    1、竞争对手,百度搜索看看是否是竞争对手成长的原因,看看首页上有哪些网站,分析一下首页上的网站,然后改变自己的网站优化策略。

    高级优化师
  • 网站排名受哪些百度搜索引擎规则的影响?

    SEO优化是建立在遵循搜索引擎规则上的,所以了解搜索引擎对网站排名的规则,有利于酒店提高酒店自主网站的排名。而目前国内常用的搜索引擎是百度和谷歌,因此下面将讲述...

    神勇大师兄

扫码关注云+社区

领取腾讯云代金券