JSON es una estructura de datos. Se deriva de ECMAscript y no permite la asignación o invocación. JSON por sí solo es solo un formato de representación para el intercambio de datos. No es un código ejecutable en el sentido habitual.
Es posible utilizar la falsificación de solicitudes entre sitios junto con la redefinición, por lo que los trucos de la función Javascript para inyectar JSON, pero esto no es un problema con JSON, sino con el entorno del navegador en sí.
Es más fácil explotar aplicaciones que usan JSON. En lugar de dar JSON, esperan que un hacker pueda ‘de alguna manera’ (jeje) darles javascript. Código mal escrito, la mayoría de las veces en los navegadores puede intentar evaluar JSON, esperando que sea JSON.
- ¿Cuál es el futuro del software antivirus?
- ¿Cuál es el antivirus mejor pagado para Windows 8 64 bit?
- Si descarga un archivo, ¿se puede infectar durante la descarga?
- ¿Qué tan perjudicial será el reciente anuncio de Kaspersky Labs sobre el supuesto malware de la NSA para su reputación y operaciones?
- Cómo sanar archivos infectados con malware zepto en mi computadora
Algún código AJAX en los navegadores recupera JSON y lo evalúa como código utilizando una función eval (). Esto es malo y se puede explotar más fácilmente al incorporar tanto declaraciones como invocaciones y asignaciones de JavaScript en el JSON recuperado de forma remota.
Técnicamente, uno también podría explotar los analizadores JSON mal implementados mediante el uso de valores no válidos para enteros, etc. Del mismo modo, los datos JSON muy largos pueden causar desbordamientos del búfer en analizadores JSON mal implementados.
Recuerde que muchos lenguajes del lado del servidor utilizan JSON como formato de intercambio, desde NodeJS hasta Ruby, desde C / C ++ hasta PHP para … Se le ocurre la idea. Los errores de implementación JSON del lado del servidor probablemente superan en número a los errores del navegador en lo que respecta a JSON. Pero, de nuevo, los exploits en este sentido no son culpa ni fallas de JSON; serían consecuencia de la implementación de analizadores y serializadores JSON u operaciones en objetos JSON.