第(2/3)頁(yè)

    他在睡之前，想到了一個(gè)方向，在夢(mèng)里他一直斷斷續(xù)續(xù)的做著亂七八糟的夢(mèng)，等夢(mèng)醒的時(shí)候，那些含糊不清的片段，慢慢的變得清晰了起來(lái)。

    csrf，也就是跨域請(qǐng)求偽造，一種非常非常常見(jiàn)的web攻擊方式，它很好防御，但是卻被無(wú)數(shù)的開(kāi)發(fā)者忽略，它的別名叫做“沉睡的巨人”。

    簡(jiǎn)單來(lái)說(shuō)，就是用戶打開(kāi)了招行信用卡中心并且登陸，網(wǎng)銀返回了cookie給前端，瀏覽器將cookie保存了下來(lái)。

    這個(gè)時(shí)候，如果用戶沒(méi)有登出網(wǎng)銀的情況下，瀏覽器打開(kāi)了新的網(wǎng)站，這個(gè)網(wǎng)站是一個(gè)危險(xiǎn)網(wǎng)站。

    網(wǎng)站上有一個(gè)超鏈接指向了招行信用卡中心，當(dāng)用戶點(diǎn)擊這個(gè)危險(xiǎn)網(wǎng)站的超鏈接時(shí)，瀏覽器的cookie就會(huì)被盜取，或者錢直接被轉(zhuǎn)走。

    “你先吃一口啊。”柳依諾看著已經(jīng)涼了的午飯，用力的搖了搖頭，柳誠(chéng)就這個(gè)樣，一旦工作起來(lái)，就什么都不管不顧了。

    柳誠(chéng)在spring    boot里建了一個(gè)項(xiàng)目，做了兩個(gè)csrf的項(xiàng)目，復(fù)現(xiàn)了黑客的攻擊手段。

    他終于松了口氣，這折騰了一天，他還以為什么復(fù)雜的技術(shù)，感情就是一個(gè)極其簡(jiǎn)單的csrf跨域請(qǐng)求偽造，怪不得在日志上什么都看不到。

    他通過(guò)工作服務(wù)器再次復(fù)現(xiàn)了攻擊，寫(xiě)好報(bào)告，選擇了提交。

    “真的是累死人啊。”柳誠(chéng)伸著懶腰，狼吞虎咽的將已經(jīng)有點(diǎn)涼的米飯吃掉，咕咕叫的肚子才有了滿足的飽腹感。

    柳誠(chéng)含含糊糊的問(wèn)道：“陳婉若接到了嗎？不是早上的飛機(jī)嗎？”

    柳依諾點(diǎn)了點(diǎn)頭，她還是沒(méi)瞧懂柳誠(chéng)到底在干什么，但是不妨礙她清楚柳誠(chéng)似乎解決了一個(gè)大問(wèn)題。

    她點(diǎn)頭說(shuō)道：“接到了，她回自己家了，她媽不是在京城給她買了房子嗎？還把家里的劉姨和司機(jī)阿標(biāo)都接到了京城。她好著呢，你放心吧。”

    “這樣，行，我在寫(xiě)一份csrf防御簡(jiǎn)報(bào)給他們，就可以下班了。”柳誠(chéng)抻著身子，上了個(gè)廁所，繼續(xù)奮戰(zhàn)。

    一直寫(xiě)到了傍晚的時(shí)候，柳誠(chéng)才算完成了。

    csrf的防御十分簡(jiǎn)單，但是開(kāi)發(fā)者要防御這種攻擊，需要解決的問(wèn)題很多，服務(wù)端和客戶端兩方面著手，工作量極大。

    正是因?yàn)闃O大的工作量，所以多數(shù)開(kāi)發(fā)者都圖省勁兒，要么不部署，要么直接一紙用戶協(xié)議，將自己的責(zé)任摘的一干二凈。
    第(2/3)頁(yè)