Googleがwhile(1)を付加するのはなぜですか。彼らのJSON応答に?

4169
Jess 2010-04-20 08:00.

Googlewhile(1);が(プライベート)JSON応答の前に付けるのはなぜですか?

たとえば、Googleカレンダーでカレンダーのオンとオフを切り替えたときの応答は次のとおりです。

while (1);
[
  ['u', [
    ['smsSentFlag', 'false'],
    ['hideInvitations', 'false'],
    ['remindOnRespondedEventsOnly', 'true'],
    ['hideInvitations_remindOnRespondedEventsOnly', 'false_true'],
    ['Calendar ID stripped for privacy', 'false'],
    ['smsVerifiedFlag', 'true']
  ]]
]

これは、人々がそれを実行するのを防ぐためeval()だと思いますが、実際に行う必要があるのは、を置き換えるwhileことだけです。そうすれば、設定されます。評価の防止は、人々が安全なJSON解析コードを記述できるようにすることだと思います。

これは他のいくつかの場所でも使用されていますが、Google(メール、カレンダー、連絡先など)ではさらに多く使用されています。不思議なことに、Googleドキュメントは&&&START&&&代わりに始まり、Googleコンタクトはで始まるようwhile(1); &&&START&&&です。

何が起きてる?

7 answers

4364
rjh 2010-04-20 08:11.

これにより、JSONハイジャックが防止されます。これは、2011年以降ECMAScript5ですべての主要なブラウザーで正式に修正された主要なJSONセキュリティの問題です。

不自然な例:Googlemail.google.com/json?action=inboxに、受信トレイの最初の50メッセージをJSON形式で返すようなURLがあるとします。他のドメインの邪悪なウェブサイトは、同一生成元ポリシーのため、このデータを取得するためにAJAXリクエストを行うことはできませんが、<script>タグを介してURLを含めることができます。URLはCookieを使用しアクセスされ、グローバル配列コンストラクターまたはアクセサーメソッドをオーバーライドすることで、オブジェクト(配列またはハッシュ)属性が設定されるたびに呼び出されるメソッドを持つことができ、JSONコンテンツを読み取ることができます。

while(1);または&&&BLAH&&&防止この:でAJAX要求mail.google.comテキストコンテンツへのフルアクセス権を持つことになりますし、すぐにそれを取り除くことができます。ただし、<script>タグを挿入すると、JavaScriptが処理されずに盲目的に実行されるため、無限ループまたは構文エラーが発生します。

これは、クロスサイトリクエストフォージェリの問題には対応していません。

593
Arnaud Le Blanc 2014-02-03 02:09.

JSONハイジャックによる応答の開示を防ぎます。

理論的には、HTTP応答のコンテンツは同一生成元ポリシーによって保護されます。一方のドメインのページは、(明示的に許可されていない限り)他方のドメインのページから情報を取得することはできません。

攻撃者は、<script src=...>または<img>タグを使用するなどして、他のドメインのページを要求できますが、結果に関する情報(ヘッダー、コンテンツ)を取得することはできません。

したがって、攻撃者のページにアクセスすると、gmail.comからのメールを読み取ることができませんでした。

スクリプトタグを使用してJSONコンテンツを要求する場合を除いて、JSONは攻撃者の制御された環境でJavaScriptとして実行されます。攻撃者がArrayまたはObjectコンストラクター、またはオブジェクトの構築中に使用されるその他のメソッドを置き換えることができる場合、JSON内のすべてのものが攻撃者のコードを通過し、開示されます。

これは、JSONが解析されるときではなく、JavaScriptとして実行されるときに発生することに注意してください。

複数の対策があります:

JSONが実行されないようにする

while(1);Googleは、JSONデータの前にステートメントを配置することで、JSONデータがJavaScriptとして実行されないようにします。

正当なページだけが実際にコンテンツ全体を取得しwhile(1);、を取り除き、残りをJSONとして解析できます。

for(;;);たとえば、Facebookでも同様のことが見られ、同じ結果が得られています。

JSONが有効なJavaScriptではないことを確認する

同様に、のよう&&&START&&&にJSONの前に無効なトークンを追加すると、JSONが実行されないようになります。

常に外側にオブジェクトがあるJSONを返す

これは、JSONハイジャックから保護するためのOWASP推奨の方法であり、邪魔にならない方法です。

前の対策と同様に、JSONがJavaScriptとして実行されないようにします。

有効なJSONオブジェクトは、何も囲まれていない場合、JavaScriptでは無効です。

eval('{"foo":"bar"}')
// SyntaxError: Unexpected token :

ただし、これは有効なJSONです。

JSON.parse('{"foo":"bar"}')
// Object {foo: "bar"}

したがって、応答の最上位で常にオブジェクトを返すようにすることで、JSONが有効なJavaScriptでありながら、有効なJSONであることを確認できます。

コメントで@hvdが指摘しているように、空のオブジェクト{}は有効なJavaScriptであり、オブジェクトが空であることを知ること自体が貴重な情報になる可能性があります。

上記の方法の比較

OWASPの方法は、クライアントライブラリを変更する必要がなく、有効なJSONを転送するため、煩わしさが少なくなります。ただし、過去または将来のブラウザのバグがこれを打ち負かすことができるかどうかは不明です。@oriadamが指摘しているように、エラー処理(window.onerrorなど)によって解析エラーでデータがリークされる可能性があるかどうかは不明です。

Googleの方法では、自動逆シリアル化をサポートするためにクライアントライブラリが必要であり、ブラウザのバグに関してより安全であると見なすことができます。

どちらの方法でも、開発者が脆弱なJSONを誤って送信しないように、サーバー側で変更を加える必要があります。

376
bdonlan 2009-05-16 16:08.

これは、他のサイトがデータを盗もうとする厄介なトリックを実行できないようにするためです。たとえば、配列コンストラクターを置き換えてから、<script>タグを介してこのJSON URLを含めることにより、悪意のあるサードパーティサイトがJSON応答からデータを盗む可能性があります。while(1);先頭にを置くと、代わりにスクリプトがハングします。

一方、XHRと個別のJSONパーサーを使用した同じサイトのリクエストでは、while(1);プレフィックスを簡単に無視できます。

111
Daniel Vassallo 2010-04-20 08:04.

これは、サードパーティがJSON応答を<script>タグ付きのHTMLドキュメントに挿入することを困難にするためです。<script>タグは同一生成元ポリシーから免除されていることに注意してください。

82
Pointy 2010-04-20 08:02.

:2019年の時点で、この質問で説明されている予防策につながる古い脆弱性の多くは、最新のブラウザーでは問題ではなくなりました。以下に歴史的な好奇心として答えを残しておきますが、実際には、これが尋ねられた2010年(!!)以来、トピック全体が根本的に変化しました。


単純な<script>タグのターゲットとして使用されるのを防ぎます。(まあ、それはそれを防ぐことはできませんが、それは不快になります。)そうすれば、悪者はそのスクリプトタグを自分のサイトに置いて、アクティブなセッションに依存してコンテンツをフェッチできるようにすることはできません。

編集—コメント(およびその他の回答)に注意してください。この問題は、破壊された組み込み機能、特にコンストラクターObjectArrayコンストラクターに関係しています。これらは、解析時に無害なJSONが攻撃者のコードをトリガーする可能性があるように変更できます。

11
Krishna Ganeriwal 2017-08-18 18:14.

以来<script>タグはウェブの世界では、セキュリティの必要性である同一生成元ポリシーを免除され、while(1)JSONレスポンス防止に追加するときに、それの誤用<script>タグ。

0
JSON C11 2020-03-02 15:24.

認証が行われた後、JSONハイジャック保護はさまざまな形をとることができます。Googleはwhile(1)をJSONデータに追加するため、悪意のあるスクリプトがそれを評価すると、悪意のあるスクリプトは無限ループに入ります。

参照:Webセキュリティテストクックブック:問題をすばやく見つけるための体系的な手法

Related questions

MORE COOL STUFF

ケイト・ブランシェットは3日間一緒に夫と一緒に寝て、25年経ってもまだ夫と結婚しています

ケイト・ブランシェットは3日間一緒に夫と一緒に寝て、25年経ってもまだ夫と結婚しています

ケイト・ブランシェットは、夫に会ったとき、典型的な交際のアドバイスに逆らいました。

マイケルシーンが非営利の俳優である理由

マイケルシーンが非営利の俳優である理由

マイケルシーンは非営利の俳優ですが、それは正確にはどういう意味ですか?

ホールマークスターのコリンエッグレスフィールドがRomaDramaLiveでスリル満点のファンと出会う![エクスクルーシブ]

ホールマークスターのコリンエッグレスフィールドがRomaDramaLiveでスリル満点のファンと出会う![エクスクルーシブ]

特徴的なスターのコリン・エッグレスフィールドは、RomaDrama Liveでのスリル満点のファンとの出会いについて料理しました!加えて、大会での彼のINSPIREプログラム。

「たどりつけば」をオンラインでストリーミングできない理由

「たどりつけば」をオンラインでストリーミングできない理由

ノーザンエクスポージャーが90年代の最も人気のある番組の1つになった理由を確認するには、Blu-rayまたはDVDプレーヤーをほこりで払う必要があります。

バイオニック読書はあなたをより速く読むことができますか?

バイオニック読書はあなたをより速く読むことができますか?

BionicReadingアプリの人気が爆発的に高まっています。しかし、それは本当にあなたを速読術にすることができますか?

ドミニカのボイリング湖:アクセスは簡単ではありませんが、ハイキングする価値があります

ドミニカのボイリング湖:アクセスは簡単ではありませんが、ハイキングする価値があります

ドミニカのボイリング湖は、世界で2番目に大きいボイリング湖です。そこにたどり着くまでのトレッキングは大変で長いですが、努力する価値は十分にあります。

私たちの水をきれいに保つのを助けるためにあなたの髪を寄付してください

私たちの水をきれいに保つのを助けるためにあなたの髪を寄付してください

サロンからのヘアトリミングや個人的な寄付は、油流出を吸収して環境を保護するのに役立つマットとして再利用できます。

ホワイトハウスの最も記憶に残る結婚式を見てください

ホワイトハウスの最も記憶に残る結婚式を見てください

過去200年以上の間にホワイトハウスで結婚したのはほんの数人です。彼らは誰でしたか、そしてそこで結婚式を獲得するために何が必要ですか?

今週のコミックコンですべての素晴らしいものに追いつく方法

今週のコミックコンですべての素晴らしいものに追いつく方法

サンディエゴコミックコンは今週開幕し、オタクのアナウンス、ポスター、予告編、お気に入りの番組や映画のからかいでいっぱいになります。SDCCは、コンベンションフロア全体の多くのパネルで行われているため、すべてに対応するのは難しい場合があります。

Googleの9千万ドルの和解はアプリ開発者にとってもGoogleにとっても勝利ですか?

Googleの9千万ドルの和解はアプリ開発者にとってもGoogleにとっても勝利ですか?

小さなアプリ開発者は金曜日に発表された法的な和解でグーグルから9千万ドルをこじ開けた。アップルとの同様の合意に続いて熱くなった。金曜日のブログ投稿で、Googleは、Androidメーカーが市場での優位性を悪用してPlayストア経由でのアプリ内購入に対して30%の料金を不当に請求したと主張するアプリ開発者との訴訟を解決するために、9千万ドルを支払うことに合意したと述べました。

RadioShackのTwitterはハッキングされていませんでした、それはただの暗号のサクラです

RadioShackのTwitterはハッキングされていませんでした、それはただの暗号のサクラです

今週、RadioShackのTwitterアカウントは、奇妙なものから完全にひどいものになりました。短い順序で、会社のフィード全体が、バイブレーター、「ビッグティット」(スペルミス)、有名人やその他の企業アカウントを荒らしているツイートなど、NSFW素材の真の山になりました。

ヒッグス粒子から10年後、物理学にとって次の大きなものは何ですか?

ヒッグス粒子から10年後、物理学にとって次の大きなものは何ですか?

大型ハドロン衝突型加速器のトンネル内にあるコンパクトミュオンソレノイド(CMS)検出器。2012年7月4日、CERNの科学者たちは、1960年代に最初に提案された素粒子であるヒッグス粒子の観測を確認しました。

Zendaya Wishes Boyfriend Tom Holland Happy Birthday with Cuddly Photo: He 'Makes Me the Happiest'

Zendaya Wishes Boyfriend Tom Holland Happy Birthday with Cuddly Photo: He 'Makes Me the Happiest'

Zendaya shared a sweet photo in honor of boyfriend Tom Holland's 26th birthday Wednesday

小さな女性:脳卒中を患った後に病院から解放されたアトランタのジューシーな赤ちゃん:「まだ癒し」

小さな女性:脳卒中を患った後に病院から解放されたアトランタのジューシーな赤ちゃん:「まだ癒し」

シーレン「Ms.JuicyBaby」ピアソンは、先月脳卒中で入院した後、「もう一度たくさんのことをする方法を学ばなければならない」ため、言語療法を受けていることを明らかにしました。

エマストーンは彼女のクリフサイドマリブビーチハウスを420万ドルでリストアップしています—中を見てください!

エマストーンは彼女のクリフサイドマリブビーチハウスを420万ドルでリストアップしています—中を見てください!

オスカー受賞者の世紀半ばの家には、3つのベッドルーム、2つのバス、オーシャンフロントの景色があります。

ジーニー・メイ・ジェンキンスは、母乳育児の経験の中で、彼女は「本当に、本当に落ち込んでいる」と言います

ジーニー・メイ・ジェンキンスは、母乳育児の経験の中で、彼女は「本当に、本当に落ち込んでいる」と言います

ジーニー・メイ・ジェンキンスは、生後4か月の娘、モナコに母乳育児をしていると語った。

Un breve viaje espacial sobre conceptualizar el diseño

Complicarse la vida, mezclar churros con meninas (nada de ovejas) y encontrar valor en un trastero que adquiriste en una puja.

Un breve viaje espacial sobre conceptualizar el diseño

Bien. Hay un momento en toda salida al espacio exterior en el que de la tensión, la velocidad y las altas temperaturas derivadas del cruce de estratosfera a ionosfera se pasa a un momento de súbita calma, donde se despliega la vista completa del paisaje espacial que nos rodea.

Seguindo Todos os Protocolos (2022), de Fábio Leal

Seguindo Todos os Protocolos (2022), de Fábio Leal

Chico quer transar. Até aí, tudo bem.

多元宇宙—Junø

多元宇宙—Junø

チェーン間アカウントがJunoに登場します。異なるブロックチェーン間でスマートコントラクトの構成可能性と真の相互運用性を提供します。

#brand【ベター・コール・ソール!アメリカのテレビシリーズ「ブレイキング・バッド」に最高のビジネス例が隠されている】・・・ルールクリエイティブ

#brand【ベター・コール・ソール!アメリカのテレビシリーズ「ブレイキング・バッド」に最高のビジネス例が隠されている】・・・ルールクリエイティブ

1.ドラマを見た後、起業する考えはありますか?あなたのビジネスはボトルネックに遭遇しましたか?方向性がなくてわからない場合は、ドラマを追いかけて行くことを心からお勧めします。(?)ブラフではなく、最も完璧なビジネス例を隠すドラマがあります。2.ブレイキング・バッドとその弁護士ドラマ「ブレイキング・バッド」を見た友人たちは、演劇の中で、穏やかな表情で、弁護士のソウル・グッドマンに深く感銘を受けなければなりません。口を開けて、感覚の弱い傭兵の性格を持っています。道徳の面で、サル・グッドマンは無意識のうちに劇に欠かせない役割を果たし、彼自身のシリーズ「絶望的な弁護士」(ベター・コール・ソール)を生み出しました。ウェントウのテキストとビデオは、劇中のソウル・グッドマンのテレビコマーシャルです。製品(サービス)、競争戦略、市場ポジショニング、ブランド名、ターゲット顧客グループ、コミュニケーション軸から広告まで、サル・グッドマンの役割のビジネス設定は、「最低」と見なすことができる超超超超超超完全です。ブランドコミュニケーションのコスト」「変化」のモデル。なぜ?私の分析をご覧ください。3.ソウル・グッドマンの「事業戦略」1.基本情報ブランド名:Saul Goodman製品:法律相談サービス対象顧客:麻薬中毒、飲酒運転、事故など。法律知識の欠如は、一般的に公立弁護士にしか余裕がなく、真面目な弁護士も「特別な法律を持つ消費者」を避けます。恐れてはいけない「​​ニーズ」。コミュニケーションの主軸:この国のすべての男性、女性、子供は有罪判決を受けるまで無実だと思います。地域:アルバカーキ市スローガン:Thrallに電話したほうがいいです!(ベター・コール・ソール)広告:2つの可能性のある犯罪状況をシミュレートします+サウルの主張+サウルのスローガン2をより適切に呼び出します。

Language