¿Cómo podemos explotar las aplicaciones basadas en JSON? ¿Hay alguna vulnerabilidad específica asociada con JSON?

JSON es una estructura de datos. Se deriva de ECMAscript y no permite la asignación o invocación. JSON por sí solo es solo un formato de representación para el intercambio de datos. No es un código ejecutable en el sentido habitual.

Es posible utilizar la falsificación de solicitudes entre sitios junto con la redefinición, por lo que los trucos de la función Javascript para inyectar JSON, pero esto no es un problema con JSON, sino con el entorno del navegador en sí.

Es más fácil explotar aplicaciones que usan JSON. En lugar de dar JSON, esperan que un hacker pueda ‘de alguna manera’ (jeje) darles javascript. Código mal escrito, la mayoría de las veces en los navegadores puede intentar evaluar JSON, esperando que sea JSON.

Algún código AJAX en los navegadores recupera JSON y lo evalúa como código utilizando una función eval (). Esto es malo y se puede explotar más fácilmente al incorporar tanto declaraciones como invocaciones y asignaciones de JavaScript en el JSON recuperado de forma remota.

Técnicamente, uno también podría explotar los analizadores JSON mal implementados mediante el uso de valores no válidos para enteros, etc. Del mismo modo, los datos JSON muy largos pueden causar desbordamientos del búfer en analizadores JSON mal implementados.

Recuerde que muchos lenguajes del lado del servidor utilizan JSON como formato de intercambio, desde NodeJS hasta Ruby, desde C / C ++ hasta PHP para … Se le ocurre la idea. Los errores de implementación JSON del lado del servidor probablemente superan en número a los errores del navegador en lo que respecta a JSON. Pero, de nuevo, los exploits en este sentido no son culpa ni fallas de JSON; serían consecuencia de la implementación de analizadores y serializadores JSON u operaciones en objetos JSON.

Related Content

¿Qué sucede si de alguna manera toda la encriptación que usamos se vuelve decodificable de repente? ¿Cuáles podrían ser los posibles resultados y sus soluciones?

¿Existe un keylogger para Android que almacene registros como un archivo .txt?

¿Quién hackeó Evernote?

¿Cuál es la mejor configuración de seguridad informática? ¿Antivirus, cortafuegos, etc.?

¿Cuáles son los cinco principales riesgos de ciberseguridad que enfrenta una organización?

More Interesting

¿Alguien está desarrollando una tecnología que pueda decirle si su nombre de usuario o contraseña son incorrectos?

Cómo evaluar un probador de penetración

¿Hay un keylogger en mi computadora?

Distribución de software: quiero un programa (preferiblemente gratuito) que, cuando descargue cualquier tipo de archivo a mi computadora, haga un registro de la fuente de la descarga. ¿Donde puedo conseguir uno?

¿La protección de antivirus en tiempo real ralentiza el rendimiento de la PC?

¿Cuál es el mejor software antivirus y firewall para Linux?

¿Puede existir un virus informático que funcione como un virus real?

¿Cuáles son las principales vulnerabilidades de seguridad en los sistemas SCADA para centros de datos y qué empresas se centran en desarrollar soluciones para estos problemas?

¿Crees que hackthissite.org es una buena herramienta para dominar la piratería web?

Creo que el software de seguridad de Internet son en su mayoría estafas. ¿Qué piensas?

¿Cómo se nombra una vulnerabilidad de seguridad después de ser descubierta?

¿Cuáles son actualmente las áreas de investigación más activas en el campo de la seguridad de la información, la informática y la seguridad de la red?

¿Obama ha sido negligente con la seguridad cibernética?

¿Qué conocimiento comparten Trump, Jared Kushner y Netanyahu sobre la interferencia de Rusia en nuestras elecciones presidenciales?

¿El cifrado de Moxie Marlinspike utilizado por WhatsApp es actualmente el mejor sistema de cifrado que se implementa masivamente para la privacidad? ¿Quién más lo usa?