RESTful中的JSON注入

时间:2018-03-30 10:17:56

标签: spring rest web-services web

我是网络应用程序的新手,并且没有太多信息。在谷歌的JSON注入。
您能否对以下问题提供一些见解。

  1. 什么是JSON Injection?
  2. JSON Injection是客户端攻击还是服务器端攻击?
  3. 如何根据RESTful应用程序处理JSON注入安全方面?

1 个答案:

答案 0 :(得分:3)

  

什么是JSON注入?

这是一种利用服务器读取JSON信息的漏洞的攻击。<​​/ p>

  

JSON Injection是客户端攻击还是服务器端攻击?

我无法说出攻击有多么有创意。大多数情况下被认为是服务器端攻击,因为主要目标是操纵发送到服务器的JSON以查看服务器是否以意外方式处理此JSON,为恶意用户产生所需效果或显示可能的某些明智信息用于他。

  

如何根据RESTful处理JSON注入安全性方面   应用

安全确实是一个复杂的主题,甚至是involving JSON。但我确信你可以采取一些基本行动来防止最明显的问题。

一些基本操作:

  • 让您的系统处理各种异常。始终为用户显示一条好消息,而不会提供有关系统的任何敏感细节。这可以防止某些堆栈跟踪错误导致某些对恶意用户有用的信息。
  • 在输出JSON响应的内容类型时声明charset 。大多数框架已经存在。
  • 尽量不要将序号用于资源标识符。改为使用UUID / GUID。
  • 避免手动阅读/构建JSON,use the framework

阅读关于AJAX的OWASP document。他们展示了一些与JSON相关的好建议。

相关问题
最新问题