水坑配合JSONHijacking-创新互联

jsonp:解决跨域的问题

我们提供的服务有：网站设计、网站建设、微信公众号开发、网站优化、网站认证、饶河ssl等。为1000多家企事业单位解决了网站和推广的问题。提供周到的售前咨询和贴心的售后服务，是有科学管理、有技术的饶河网站制作公司

水坑***:引用百度百科",寻找***目标经常访问的网站的弱点,先将此网站“攻破”并植入***代码,一旦***目标访问该网站就会“中招”,简单的说 你要搞XX人 你通过前期的信息收集 知道他的人都一般去什么网站 之后搞定经常上的这个网站 在这个网站挂马 我会告诉你 我12年的时候就是这样XX了某个国外的企业么。

 今天的这个漏洞主要是获取个人信息，并没有针对这些人进行***，漏洞都是玩烂的。

 大概说下我知道的利用水坑配合jsonp进行***的

首先网站你需要登录 不登录获取不到

1. 轻松获取网站访客QQ号码

2. jsonp探针 定位目标虚拟身份信息 (利用cookie进行追踪 就算你挂层层代理 也可以获取信息)

3. 某公司被X 想定位这个人到这个人 在***的webshell插入js代码 进行定位

防御:

1. 最简单也最懒的办法:referer验证（写好正则 别出现126.com.tk这种的域名可以绕过referre 还要别写为空 referer是可以为空的  可以绕过）

2. token

 Content-Type严格使用application/json 不然callback自定义那里也会出现反射的xss。

 有的东西只有让大众关注的时候,很多人去搞的时候厂商才会意识到多么的危险，这样的例子也不少，就像当年的xss，xss盲打平台没有出来的时候 很多人都不去关注xss。

另外有需要云服务器可以了解下创新互联scvps.cn，海内外云服务器15元起步，三天无理由+7*72小时售后在线，公司持有idc许可证，提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案，具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势，专为企业上云打造定制，能够满足用户丰富、多元化的应用场景需求。

文章题目：水坑配合JSONHijacking-创新互联
网站链接：https://www.cdcxhl.com/article38/discpp.html

成都网站建设公司_创新互联，为您提供网站营销、响应式网站、外贸建站、网站建设、网站内链、Google

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联