JSON.parse() eval() से वास्तव में सुरक्षित है जब वेब पेज और AJAX कॉल उसी सर्वर से आते हैं?

Question

मुझे लगता है कि JSON.parse() एक हमलावर को जावास्क्रिप्ट को प्रतिक्रिया में इंजेक्शन देने से रोकता है क्योंकि एक JSON पार्सर केवल एक पाठ पार्सर है, स्क्रिप्ट पार्सर नहीं है, इसलिए कृपया इसे बंद न करें अन्य सभी प्रश्नों का एक डुप्लिकेट है उसके बारे में। यह एक अलग सवाल है।

यदि कोई हमलावर आपके अजाक्स कॉल को हाइजैक कर सकता है और अजाक्स कॉल में जावास्क्रिप्ट डाल सकता है, तो वे आपके वास्तविक वेबपृष्ठ को हाइजैक करने में सक्षम नहीं होंगे और आपके पृष्ठ में मनमाने ढंग से जावास्क्रिप्ट डालने की संभावना है, जिससे वे एक ही हमले को पूरा कर सकते हैं ?

निश्चित रूप से, आपके पास eval() के बजाय JSON.parse() का उपयोग करके खोने के लिए कुछ भी नहीं है (जब तक आपके पास अपने पर्यावरण में अभी तक JSON पार्सर नहीं है और उसे प्राप्त करने के लिए और कोड जोड़ना है), लेकिन क्या यदि आपके वेब पेज को आपके एजेक्स कॉल के समान होस्ट द्वारा सेवा दी जा रही है तो क्या स्थिति वास्तव में सुरक्षा जोड़ती है?

Answer 1

हां, यह वास्तव में सुरक्षित है। आप जो भी सावधानी बरतते हैं वह संभावित शोषण का एक सेट है जिसे आप नहीं रोकते हैं।

एक हमलावर आपके सर्वर के आउटपुट पर पूरी तरह से इसे बदलने में सक्षम होने के बिना कुछ नियंत्रण प्राप्त करने में सक्षम हो सकता है। कोई भी यह सुझाव नहीं दे रहा है कि यह एक जादू बुलेट है, लेकिन यह संभावित रूप से तेज़ है और आप संभावित भेद्यता नहीं बना रहे हैं जो आपको वापस आ सकता है और आपको चोट पहुंचा सकता है।

हो सकता है कि किसी को अपने सर्वर एक बुरा दिन है, और unsanitized उपयोगकर्ता इनपुट श्रृंखलाबद्ध द्वारा JSON के निर्माण की तरह कुछ मूर्ख करता है चल रहा है:

<?php 
    print '{"foo": ' . $_GET['bar'] . '}'; 
?> 

आप JSON.parse उपयोग कर रहे हैं, सबसे खराब वे क्या कर सकते हैं एक धक्का है आपकी स्मृति में बड़ी वस्तु। यदि आप eval का उपयोग कर रहे हैं तो वे सबकुछ अपहरण कर सकते हैं।

Answer 2

ठीक है, अगर वे आपके AJAX प्रतिक्रियाओं में इंजेक्ट करने में सक्षम हैं, तो संभवतः वे पहले से ही सफलतापूर्वक मैन-इन-द-मिडल में आपको एक तरफ या दूसरे (एआरपी, डीएनएस या कुछ और) में सफलतापूर्वक प्रबंधित कर चुके हैं।

इस प्रकार के हमले के बारे में अधिक जानकारी के लिए http://en.wikipedia.org/wiki/Man-in-the-middle_attack देखें।

आप उसमें सही हैं, अगर वे आपके AJAX प्रतिक्रिया में इंजेक्ट कर सकते हैं, तो वे पूरे पृष्ठों को भी इंजेक्ट कर सकते हैं। असल में, जो कुछ भी आपको मिलता है या नेटवर्किंग के माध्यम से भेजता है अब एमटीएम में कमजोर है जब तक कि एचटीटीपीएस \ एसएसएल जैसे कुछ इस्तेमाल नहीं किया जा रहा है।

Answer 3

यह एक बहुत अच्छा मुद्दा है। एकमात्र चीज जो मैं सोच सकता हूं वह यह है कि JSON.parse को eval से तेज़ होने का अवसर मिलेगा।

ब्राउज़र में पहले से ही HTML/जावास्क्रिप्ट कैश किया गया है और सर्वर Cache-Control का उपयोग करने के लिए सर्वर को पुनः लोड करने की आवश्यकता नहीं है, तो बहुत कम संभावना है। यदि ऐसा होता है तो निश्चित रूप से एक व्यक्ति को अवरोध करने के लिए पृष्ठ को संशोधित करने का मौका नहीं होगा। लेकिन यह परिस्थितियों का एक दुर्लभ सेट है। संभावना है कि, आपको ब्राउज़र/एचटीएमएल/जावास्क्रिप्ट का एक नया संस्करण देखने के लिए ब्राउजर की आवश्यकता होगी जो डिफ़ॉल्ट व्यवहार है।

सुरक्षा अंतर के लिए, मुझे लगता है कि आप सही हैं।

मेरे लिए, मैं केवल HTTPS पुष्टि प्रणाली के साथ काम करता हूं। लेकिन मेरे पास एक ऐसा फ़ंक्शन है जो उपलब्ध होने पर JSON.parse का उपयोग करता है और गति सुधार के लिए eval पर वापस आ जाता है।

Answer 4

अच्छा ...मैं eval के उपयोग की वकालत नहीं कर रहा हूं, लेकिन मुझे नहीं लगता कि यह जावास्क्रिप्ट में सुरक्षा समस्या का गठन करता है, क्योंकि जावास्क्रिप्ट क्लाइंट-साइड भाषा है। यदि आप अपने कोड में eval का उपयोग नहीं करते हैं, तो मुझे कंसोल या पता बार में javascript:my_own_evil_code() चलाने से रोकता है? यह जावास्क्रिप्ट है, मैं अपना कोड चला सकता हूं या अपना संशोधित कर सकता हूं, अपने स्वयं के HTTP अनुरोध बना सकता हूं और HTTP प्रतिक्रियाओं के साथ कुछ भी कर सकता हूं, या अपने कार्यों में अपना खुद का eval भी जोड़ सकता हूं।

आप eval उपयोग नहीं करना चाहिए अगर वहाँ एक और तुलनीय समाधान उपलब्ध है, लेकिन अगर आप, सिर्फ सादगी के लिए, eval('('+jsonstring+')') क्या करना JSON.parse का अनुकरण करना चाहते हैं, मुझे नहीं लगता कि यह एक बड़ी गलती है।