点击「蓝色」字体关注我们!
蜜罐技术jsonp劫持原理:
JSON劫持又称“JSON Hijacking”,2008年国外安全研究人员开始提到由JSONP带来的风险。这个问题属于CSRF(Cross-site request forgery跨站请求伪造)攻击范畴,当某网站通过JSONP的方式跨域(一般为子域)传递用户认证后的敏感信息时,攻击者可以构造恶意的JSONP调用页面,诱导被攻击者访问,以达到截取用户敏感信息的目的,但是不同之处在于,csrf可以不止script标签来利用,还可以利用img等加载外部资源的标签,而jsonp劫持目前只能通过script标签来引入js代码调用
大部分的jsonp都是通过加载script的方式进行引入url,并且
jsonp劫持需要指定回调函数,而回调函数往往与callback,jsonp等单词有关,因此我们可以先利用这些关键单词进行识别
插件原理:
插件是被动扫描的,蜜罐特征请求API域名正则匹配规则内置50多条,涉及特殊API调用的敏感域名请求(jsonp),以及对响应的js代码中是否存在callback回调函数或jsonp关键词进行捕获信息通过Captured输出信息(比如你访问一个网站,但这个网站通过jsonp技术请求百度贴吧的API域名或163域名的话,那肯定是有问题的了,也能够判断出来)
效果:
HFish节点部署个浙江大华蜜罐
访问web蜜罐后,被动扫描完成就会出现内容
说明该js文件内容有jsonp和callback的关键字
访问Hadoop蜜罐系统
存在大量第三方网址请求(jsonp劫持通过请求这些API网址实现获取攻击者身份ID等等)
通过插件的url可以看到
http
://message.dangdang.com:80/api/msg_detail.php?customer_id=o4P00TweebicwjhS72NWew
%3
D
%3
D&data_type=jsonp&pageindex=1&module=1&pagesize=20&_=1596772198527&callback=jsonp1708592700262
可以看到是当当网的jsonp劫持
缺点:
缺点是流量大的时候数量会很多,当然也有大量误报情况,需要再人工判断下自己是不是真的踩到了蜜罐
误报中Captured捕获到callback的关键词较多的误报,但如果有FingerprintJS,fingerprint2,monitordevinfo这几个关键捕获就90%可以确定是个蜜罐系统了
插件下载地址:
原文始发于微信公众号(PwnPigPig):Burp插件-蜜罐识别辅助HoneyPotDetector
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论