2 min de leitura ·

[ Conteúdo ] - Possíveis ataques cibernéticos ao trabalhar com JSON.

Introdução:

Ontem mesmo fiz uma post sobre as limitações do JSON, pois é o conteúdo que eu escolhi como objeto de estudo esses dias. O intuito aqui é conhecer os possíveis ataques e se proteger contra eles e não desmerecer o JSON. Sem mais delongas.

JSON Injection Attacks:

Esse ataque ocorre quando o criminoso injeta um código malicioso ao carregar seu arquivo JSON, assim causando gráves problemas caso não tenha medidas protetivas fortes. Isso pode levar a perda de dados, vazamento de dados, dentre outras consequências. A solução para este problema é adotar boas práticas de segurança ao escrever códigos. Não confie na entrada do usuário, sempre verifique o tipo de dado que pode ou não pode entrar. higienize-a antes de transformar em um arquivo JSON.

JSON Hijacking:

Esse é um tipo de ataque em que um invasor pode roubar dados confidenciais de uma matriz JSON enviada a um usuário. Esse ataque pode ocorrer quando um serviço da Web usa cookies para autenticação e responde com uma matriz JSON contendo dados confidenciais em resposta a uma solicitação GET

Cross-Site Scripting (XSS) Attacks:

Se o arquivo JSON não for muito bem higienizado, pode acabar tendo scripts maliciosos injetado que é executando na maquina do cliente.

Data Tampering:

Esse tipo de ataque consiste em alterar os dados de um arquivo JSON sem permissão assim comprometendo a integridade, segurança e funcionalidade do arquivo.

Técnicas que ajudam a metigar esses ataques:

É de extrema importância validar os inputs para garantir que apenas o tipo de dado necessário seja aceito. Além de validar o tipo de formato, dentre outras coisas.
Remova qualquer dado projudicial ou sensível do seu arquivo JSON ao enviar para o cliente. Isso vai evitar grandes dores de cabeça!
Criptografar seu arquivo JSON e permitir que somente pessoas autorizadas possam ter acesso a esse arquivo é de extrema importância, principalmente dentro de uma empresa que pode ter funcionários mau intencionados.
Utilizar de uma assinatura digital para garantir a autenticidade da pessoa que está utilizando esse arquivo é essencial!
Use HTTPS e CORS: HTTPS coloca uma camada extra de segurança e o CORS restrige muito do que é recebido e enviado! Caso tenha interesse em saber mais sobre CORS, acesse esse link:CORS
E por último, NUNCA compartilhe sua chave/token com ninguém, pois isso dá acesso livro ao criminoso

Conclusão

Gostaram do conteúdo? Tem algum erro nas informações apresentadas? Corrijam caso necessário!

Conteúdo excluído

Programmer404

Autor

2 anos atrás

Contendo dados, pode sim sofrer ataques, não interessa seu propósito. E já que ocorreu um ataque, foi negligência (obviamente) não interessa qual tecnologia seja. Não acho que o título está errado, pois estou específicando apenas alguns casos podem ocorrer com JSON e não de forma geral, senão a página seria bem mais abrangente.

cyp

2 anos atrás

JSON é apenas uma linguagem de marcação de dados. Nada além disso. Ela não deve executar nada além de fornecer dados.

Problemas de segurança relacionados ao JSON tem a ver com a implementação do parser e do programador que está usando ele.

É injusto associar esses problemas ao JSON. Estes problemas podem ocorrer com XML, MessagePack ou até mesmo plaintext.

Programmer404

Autor

2 anos atrás

Pois estão meu nobre, não estou dizendo que ocorre somente com JSON. E sim afirmando que é possível acontecer. Os erros e ataques são em maior parte relacionado a problemas de validação, mas os dados são roubados dos arquivos JSON. Em nenhum momento afirmei que esses erros acontece somente em JSON. Isso é um problema que pode ocorrer em diversas outras áreas pelo o mesmo motivo. Eu quis abordar JSON pois como eu citei, foi meu objeto de estudos esses dias, e portanto, resolvi fazer com JSON. Mas poderia ser com várias outras tecnologias.

Sei que a comunidade tem uma carinho grande pelo o jSON, eu tbm tenho. O intuito nunca foi atacar e sim alertar. Escolhi JSON, poderia ser uma outra qualquer, e vida que segue.