JSON Hijacking
Bei JSON Hijacking wird die Kommunikation eines Servers mit einem Client im Format JSON angegriffen:
- Der Angreifer bringt das Opfer dazu, eine speziell präparierte Seite aufzurufen.
- Die präparierte Seite enthält ein script-Tag, welches die JSON-Daten abruft. Das wird nicht von den Sicherheitsmechanismen des Browsers (z.B. Same Origin Policy) unterbunden.
- Die präparierte Seite enthält außerdem JavaScript Code, der die JSON-Daten abgreift. Das passiert typischerweise durch Überschreiben der JavaScript-Funktion, die neue Objekte erzeugt.
- Die abgegriffenen Daten werden an den Server des Angreifers übermittelt.
Um diesen Angriff zu erschweren sollten Server keine GET Requests auf JSON-Daten zulassen.
Quelle
http://capec.mitre.org/data/definitions/111.html
- Der Angreifer bringt das Opfer dazu, eine speziell präparierte Seite aufzurufen.
- Die präparierte Seite enthält ein script-Tag, welches die JSON-Daten abruft. Das wird nicht von den Sicherheitsmechanismen des Browsers (z.B. Same Origin Policy) unterbunden.
- Die präparierte Seite enthält außerdem JavaScript Code, der die JSON-Daten abgreift. Das passiert typischerweise durch Überschreiben der JavaScript-Funktion, die neue Objekte erzeugt.
- Die abgegriffenen Daten werden an den Server des Angreifers übermittelt.
Um diesen Angriff zu erschweren sollten Server keine GET Requests auf JSON-Daten zulassen.
Quelle
http://capec.mitre.org/data/definitions/111.html