¿Es posible hacer 'secuestro de JSON' en un navegador moderno?

Question

Recientemente he leído algunos artículos sobre 'secuestro de JSON', y algunos de ellos son here.

Así que intenté hacer lo siguiente en mis navegadores, Chrome 17 (dev), Firefox 8 e IE8.

• objeto de anulación o constructor Array
• Modificar método __defineSetter__
• modificar método defineProperty

pero no podía hacer nada con los datos (literal) JSON.

¿Se solucionó el problema de 'JSON hijacking' en el navegador moderno? ¿O cómo puedo reproducirlo?

Answer 1

No se trata de la aplicación legítima analizar el secuestro de json - json es un problema de divulgación de información sobre alguna parte malintencionada solicitando sus datos json en lugar de la aplicación real mientras el usuario inicia sesión en la aplicación que utiliza la API normalmente. La autenticación simple no ayuda, ya que el navegador envía la información de autenticación, p. auth-cookie gratis: - /.

Pero con ES5 el navegador más actual no se verá afectado más directamente por este problema. ¡Sin embargo, en las reglas de defensa a fondo! Y mi protección contra futuros problemas o regresiones, etc.

Answer 2

Algo como eso podría en teoría ser abusado si usa eval para decodificar JSON.

Las bibliotecas JS populares que proporcionan la funcionalidad de decodificación JSON tendrán el valor predeterminado JSON.parse cuando el navegador tenga soporte JSON incorporado, por lo tanto, cualquier navegador reciente no debería ser vulnerable a menos que su código esté incorrectamente escrito.