jsonp:解決跨域的問題

我們提供的服務有：網(wǎng)站設計、網(wǎng)站建設、微信公眾號開發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認證、饒河ssl等。為1000多家企事業(yè)單位解決了網(wǎng)站和推廣的問題。提供周到的售前咨詢和貼心的售后服務，是有科學管理、有技術(shù)的饒河網(wǎng)站制作公司

水坑***:引用百度百科",尋找***目標經(jīng)常訪問的網(wǎng)站的弱點,先將此網(wǎng)站“攻破”并植入***代碼,一旦***目標訪問該網(wǎng)站就會“中招”,簡單的說 你要搞XX人 你通過前期的信息收集 知道他的人都一般去什么網(wǎng)站 之后搞定經(jīng)常上的這個網(wǎng)站 在這個網(wǎng)站掛馬 我會告訴你 我12年的時候就是這樣XX了某個國外的企業(yè)么。

 今天的這個漏洞主要是獲取個人信息，并沒有針對這些人進行***，漏洞都是玩爛的。

 大概說下我知道的利用水坑配合jsonp進行***的

首先網(wǎng)站你需要登錄 不登錄獲取不到

1. 輕松獲取網(wǎng)站訪客QQ號碼

2. jsonp探針 定位目標虛擬身份信息 (利用cookie進行追蹤 就算你掛層層代理 也可以獲取信息)

3. 某公司被X 想定位這個人到這個人 在***的webshell插入js代碼 進行定位

防御:

1. 最簡單也最懶的辦法:referer驗證（寫好正則 別出現(xiàn)126.com.tk這種的域名可以繞過referre 還要別寫為空 referer是可以為空的  可以繞過）

2. token

 Content-Type嚴格使用application/json 不然callback自定義那里也會出現(xiàn)反射的xss。

 有的東西只有讓大眾關注的時候,很多人去搞的時候廠商才會意識到多么的危險，這樣的例子也不少，就像當年的xss，xss盲打平臺沒有出來的時候 很多人都不去關注xss。

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

文章題目：水坑配合JSONHijacking-創(chuàng)新互聯(lián)
網(wǎng)站鏈接：http://chinadenli.net/article38/discpp.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站營銷、響應式網(wǎng)站、外貿(mào)建站、網(wǎng)站建設、網(wǎng)站內(nèi)鏈、Google

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)