jsmug：一个针对JSON Smuggling技术的测试PoC环境

文章预览

jsmug是一个代码简单但功能强大的JSON Smuggling技术环境PoC，该工具可以帮助广大研究人员深入学习和理解JSON Smuggling技术，并辅助提升Web应用程序的安全性。 背景内容 JSON Smuggling技术可以利用目标JSON文档中一些「不重要」的字节数据实现任意文件传输。根据JSON文档的官方定义，JSON文件中的某些位置允许使用被称为不重要字节的字节数据来传输内容。这些所谓不重要的字节在JSON文档中没有任何的意义，因此会被jq之类的JSON解析工具直接忽略。这种「不重要」的字节包括： 0x09（水平制表符） 0x0a（新行） 0x0d（回车） 0x20（空格） 这些字节本身就不起眼，甚至根本就不是肉眼可见的，而且JSON解析器也会直接忽略这些字节，因此这4个字节可以用来编码任意数据或文件。与我们使用Base2系统以二进制格式表示数据相同，我们可以使用Base4系统使用这4个字 ………………………………