JSON Hijacking

Bei JSON Hijacking wird die Kommunikation eines Servers mit einem Client im Format JSON angegriffen:

- Der Angreifer bringt das Opfer dazu, eine speziell präparierte Seite aufzurufen.

- Die präparierte Seite enthält ein script-Tag, welches die JSON-Daten abruft. Das wird nicht von den Sicherheitsmechanismen des Browsers (z.B. Same Origin Policy) unterbunden.

- Die präparierte Seite enthält außerdem JavaScript Code, der die JSON-Daten abgreift. Das passiert typischerweise durch Überschreiben der JavaScript-Funktion, die neue Objekte erzeugt.

- Die abgegriffenen Daten werden an den Server des Angreifers übermittelt.


Um diesen Angriff zu erschweren sollten Server keine GET Requests auf JSON-Daten zulassen.


Quelle

http://capec.mitre.org/data/definitions/111.html