jsonp:解決跨域的問(wèn)題

我們提供的服務(wù)有：網(wǎng)站設(shè)計(jì)、網(wǎng)站建設(shè)、微信公眾號(hào)開(kāi)發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認(rèn)證、饒河ssl等。為1000多家企事業(yè)單位解決了網(wǎng)站和推廣的問(wèn)題。提供周到的售前咨詢和貼心的售后服務(wù)，是有科學(xué)管理、有技術(shù)的饒河網(wǎng)站制作公司

水坑***:引用百度百科",尋找***目標(biāo)經(jīng)常訪問(wèn)的網(wǎng)站的弱點(diǎn),先將此網(wǎng)站“攻破”并植入***代碼,一旦***目標(biāo)訪問(wèn)該網(wǎng)站就會(huì)“中招”,簡(jiǎn)單的說(shuō) 你要搞XX人 你通過(guò)前期的信息收集 知道他的人都一般去什么網(wǎng)站 之后搞定經(jīng)常上的這個(gè)網(wǎng)站 在這個(gè)網(wǎng)站掛馬 我會(huì)告訴你 我12年的時(shí)候就是這樣X(jué)X了某個(gè)國(guó)外的企業(yè)么。

 今天的這個(gè)漏洞主要是獲取個(gè)人信息，并沒(méi)有針對(duì)這些人進(jìn)行***，漏洞都是玩爛的。

 大概說(shuō)下我知道的利用水坑配合jsonp進(jìn)行***的

首先網(wǎng)站你需要登錄 不登錄獲取不到

1. 輕松獲取網(wǎng)站訪客QQ號(hào)碼

2. jsonp探針 定位目標(biāo)虛擬身份信息 (利用cookie進(jìn)行追蹤 就算你掛層層代理 也可以獲取信息)

3. 某公司被X 想定位這個(gè)人到這個(gè)人 在***的webshell插入js代碼 進(jìn)行定位

防御:

1. 最簡(jiǎn)單也最懶的辦法:referer驗(yàn)證（寫好正則 別出現(xiàn)126.com.tk這種的域名可以繞過(guò)referre 還要?jiǎng)e寫為空 referer是可以為空的  可以繞過(guò)）

2. token

 Content-Type嚴(yán)格使用application/json 不然callback自定義那里也會(huì)出現(xiàn)反射的xss。

 有的東西只有讓大眾關(guān)注的時(shí)候,很多人去搞的時(shí)候廠商才會(huì)意識(shí)到多么的危險(xiǎn)，這樣的例子也不少，就像當(dāng)年的xss，xss盲打平臺(tái)沒(méi)有出來(lái)的時(shí)候 很多人都不去關(guān)注xss。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

名稱欄目：水坑配合JSONHijacking-創(chuàng)新互聯(lián)
當(dāng)前URL：http://weahome.cn/article/discpp.html