从品牌网站建设到网络营销策划,从策略到执行的一站式服务
jsonp:解决跨域的问题
创新互联公司是一家专业提供芝罘企业网站建设,专注与网站建设、成都做网站、成都h5网站建设、小程序制作等业务。10年已为芝罘众多企业、政府机构等服务。创新互联专业网站设计公司优惠进行中。
水坑***:引用百度百科",寻找***目标经常访问的网站的弱点,先将此网站“攻破”并植入***代码,一旦***目标访问该网站就会“中招”,简单的说 你要搞XX人 你通过前期的信息收集 知道他的人都一般去什么网站 之后搞定经常上的这个网站 在这个网站挂马 我会告诉你 我12年的时候就是这样XX了某个国外的企业么。
今天的这个漏洞主要是获取个人信息,并没有针对这些人进行***,漏洞都是玩烂的。
大概说下我知道的利用水坑配合jsonp进行***的
首先网站你需要登录 不登录获取不到
轻松获取网站访客QQ号码
jsonp探针 定位目标虚拟身份信息 (利用cookie进行追踪 就算你挂层层代理 也可以获取信息)
某公司被X 想定位这个人到这个人 在***的webshell插入js代码 进行定位
防御:
最简单也最懒的办法:referer验证(写好正则 别出现126.com.tk这种的域名可以绕过referre 还要别写为空 referer是可以为空的 可以绕过)
token
Content-Type严格使用application/json 不然callback自定义那里也会出现反射的xss。
有的东西只有让大众关注的时候,很多人去搞的时候厂商才会意识到多么的危险,这样的例子也不少,就像当年的xss,xss盲打平台没有出来的时候 很多人都不去关注xss。
成都网站建设公司地址:成都市青羊区太升南路288号锦天国际A座10层 建设咨询028-86922220
成都快上网科技有限公司-四川网站建设设计公司 | 蜀ICP备19037934号 Copyright 2020,ALL Rights Reserved cdkjz.cn | 成都网站建设 | © Copyright 2020版权所有.
专家团队为您提供成都网站建设,成都网站设计,成都品牌网站设计,成都营销型网站制作等服务,成都建网站就找快上网! | 成都网站建设哪家好? | 网站建设地图