針對于JSON網(wǎng)站的安全解決方案是什么

這期內(nèi)容當中小編將會給大家?guī)碛嘘P(guān)針對于JSON網(wǎng)站的安全解決方案是什么，文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

網(wǎng)站,APP越來越多,安全問題也面臨著嚴重挑戰(zhàn),我們SINE安全在對客戶網(wǎng)站做安全服務(wù)的同時,發(fā)現(xiàn)很多客戶網(wǎng)站都有使用JSON的交互方式來進行數(shù)據(jù)的傳輸,包括JSON調(diào)用,在使用JSON同時發(fā)生的安全問題以及如何做好JSON的網(wǎng)站安全防護,下面我們跟大家來分享一下.

首先我們要理解一下什么是JSON?

簡單通俗的來說,JSON是JS對象的一個類,是一種很簡單,很快捷的數(shù)據(jù)交換方式,在JS的寫作規(guī)則方面基本上是一致的,用單獨的格式來存儲數(shù)據(jù)與展示數(shù)據(jù),數(shù)據(jù)交互過程中很明了,很清晰,層次感較強,使得很多網(wǎng)站的開發(fā)人員來使用,促使網(wǎng)站更方便的與客戶進行交互.

那么在實際的網(wǎng)站安全部署中,我們SINE安全老于跟大家講過一個同源的策略,那老于為何老提這個策略是因為他牽扯到的網(wǎng)站安全很重要,有些客戶網(wǎng)站使用的是jsonp,什么是同源策略,就是服務(wù)器IP,訪問端口,網(wǎng)址,一定是一樣的,簡單講就是www.baidu.com和他同源的只能是www.baidu.com,這就是jsonp為何與json的不同,很簡單就能很輕易的分辨開。

什么是JSON了.JSONP是一種傳輸?shù)臄?shù)據(jù)協(xié)議,是在JSON之上的一種演變模式,大部分的瀏覽器都有同源策略的安全限制,像1.baidu.com跟2.baidu.com是沒有辦法通信的,但有一個好處就是可以調(diào)用同一個JS文件,不受同源安全策略的限制.

這里我們詳細的講解了什么是JSON,以及如何區(qū)分JSONP.那么使用了這些JS的傳輸方式會有哪些網(wǎng)站安全問題呢?目前我們SINE安全監(jiān)測中心,以及實際滲透測試中發(fā)現(xiàn)都是CSRF劫持漏洞,有些金融網(wǎng)站,APP使用的 JSONP協(xié)議的時候,我們發(fā)現(xiàn)可以利用JSONP漏洞來獲取機密的數(shù)據(jù),包括一些可以越權(quán),獲取管理員權(quán)限才能看到的一些用戶資料.造成該漏洞的主要原因是沒有對來源referer進行安全檢測,攻擊者可以偽造任意的網(wǎng)站地址進行訪問,請求JSONP數(shù)據(jù),導(dǎo)致漏洞的發(fā)生.安全舉例:個人的用戶資料訪問地址是yonghu.php,該PHP文件并沒有對GET ,POST方式的請求進行來路攔截,導(dǎo)致可以隨意寫入其他的referer的網(wǎng)址,進行獲取用戶的個人資料,姓名,手機號等隱私的信息.

那如何做好JSON網(wǎng)站的安全防護呢? 首先要對該json網(wǎng)站漏洞進行修復(fù),限制referer的來路網(wǎng)址,如果該網(wǎng)站域名沒有在白名單中,那么就將用戶的請求攔截掉,并返回攔截的錯誤提示.再一個可以使用token動態(tài)值來加強網(wǎng)站的安全,對于用戶的每一次數(shù)據(jù)請求就行token比對與安全效驗,這樣就可以杜絕網(wǎng)站受到JSON漏洞攻擊的影響.這只是網(wǎng)站安全部署的一部分,想要網(wǎng)站更安全,避免被攻擊就得從多個方面進行安全設(shè)置與部署,如果您對自己的網(wǎng)站安全不知道該如何做的話,可以找專業(yè)的網(wǎng)站安全公司來進行防護,國內(nèi)SINESAFE,啟明星辰,綠盟,都是比較不錯的網(wǎng)絡(luò)安全公司,網(wǎng)站安全了,帶來的也是客戶的認可與口碑,重視網(wǎng)站安全,從一點點的細節(jié)，以及從自身網(wǎng)站做起.

上述就是小編為大家分享的針對于JSON網(wǎng)站的安全解決方案是什么了，如果剛好有類似的疑惑，不妨參照上述分析進行理解。如果想知道更多相關(guān)知識，歡迎關(guān)注億速云行業(yè)資訊頻道。