作者:杨传栋; 曲洋jsonjsonp同源策略回调函数漏洞挖掘
摘要:JSONP是一种支持浏览器内跨域信息交换的技术,可用于不同域间的数据传递,由于该技术灵活方便使其在Web领域得到了广泛应用,但安全问题有待解决,倘若网站在处理JSONP请求时没有严格检查来源会产生JSONP漏洞。JSONP漏洞易导致敏感信息泄露,危害极其严重。目前JSONP漏洞的挖掘方法非常有限,主要靠手动方式完成,目前该方法效率较低,且挖掘不全面。针对JSONP漏洞手动挖掘方式的不足提出了一种基于Chrome插件的JSONP漏洞自动挖掘方法,通过该方法可高效、自动、全面地挖掘网站中存在的JSONP漏洞。
注:因版权方要求,不能公开全文,如需全文,请咨询杂志社