我是Web应用程序的新手,并且没有太多信息。在Google for JSON注入中。
您能为以下问题提供一些见解。
- 什么是JSON注入?
- JSON注入是客户端还是服务器端攻击?
- 如何根据RESTFUL应用程序处理JSON注射安全方面?
什么是JSON注入?
这是一种利用有关服务器读取JSON信息的漏洞。
JSON注入是客户端还是服务器端攻击?
我不能说攻击的创造力。通常被认为是服务器端攻击,因为主要目标是操纵发送到服务器的JSON,以查看服务器是否以出乎意料的方式处理此JSON,从而为恶意用户产生所需的效果或显示一些可能是可见的明智信息为他使用。
如何处理JSON注射安全方面 应用程序?
安全确实是一个复杂的主题,甚至涉及JSON。但是我敢肯定,您可以采取一些基本措施来防止最明显的问题。
一些基本动作:
- 使您的系统处理所有类型的异常。始终向用户显示一个不错的信息,而无需有关系统的任何敏感细节。这样可以防止某些堆栈Trace错误引起一些可能对恶意用户有用的信息。
- 在输出JSON响应的内容类型时声明Charset。大多数框架已经到了。
- 尝试不使用序列号进行资源标识符。改用UUID/GUID。
- 避免手动阅读/构建JSON,使用框架。
并阅读有关Ajax的OWASP文档。他们显示了一些与JSON有关的好建议。