第一百一十二章 姐姐我呀-《我真的是渣男啊》
第(2/3)頁(yè)
他在睡之前,想到了一個(gè)方向,在夢(mèng)里他一直斷斷續(xù)續(xù)的做著亂七八糟的夢(mèng),等夢(mèng)醒的時(shí)候,那些含糊不清的片段,慢慢的變得清晰了起來(lái)。
csrf,也就是跨域請(qǐng)求偽造,一種非常非常常見(jiàn)的web攻擊方式,它很好防御,但是卻被無(wú)數(shù)的開(kāi)發(fā)者忽略,它的別名叫做“沉睡的巨人”。
簡(jiǎn)單來(lái)說(shuō),就是用戶打開(kāi)了招行信用卡中心并且登陸,網(wǎng)銀返回了cookie給前端,瀏覽器將cookie保存了下來(lái)。
這個(gè)時(shí)候,如果用戶沒(méi)有登出網(wǎng)銀的情況下,瀏覽器打開(kāi)了新的網(wǎng)站,這個(gè)網(wǎng)站是一個(gè)危險(xiǎn)網(wǎng)站。
網(wǎng)站上有一個(gè)超鏈接指向了招行信用卡中心,當(dāng)用戶點(diǎn)擊這個(gè)危險(xiǎn)網(wǎng)站的超鏈接時(shí),瀏覽器的cookie就會(huì)被盜取,或者錢直接被轉(zhuǎn)走。
“你先吃一口啊。”柳依諾看著已經(jīng)涼了的午飯,用力的搖了搖頭,柳誠(chéng)就這個(gè)樣,一旦工作起來(lái),就什么都不管不顧了。
柳誠(chéng)在spring boot里建了一個(gè)項(xiàng)目,做了兩個(gè)csrf的項(xiàng)目,復(fù)現(xiàn)了黑客的攻擊手段。
他終于松了口氣,這折騰了一天,他還以為什么復(fù)雜的技術(shù),感情就是一個(gè)極其簡(jiǎn)單的csrf跨域請(qǐng)求偽造,怪不得在日志上什么都看不到。
他通過(guò)工作服務(wù)器再次復(fù)現(xiàn)了攻擊,寫(xiě)好報(bào)告,選擇了提交。
“真的是累死人啊。”柳誠(chéng)伸著懶腰,狼吞虎咽的將已經(jīng)有點(diǎn)涼的米飯吃掉,咕咕叫的肚子才有了滿足的飽腹感。
柳誠(chéng)含含糊糊的問(wèn)道:“陳婉若接到了嗎?不是早上的飛機(jī)嗎?”
柳依諾點(diǎn)了點(diǎn)頭,她還是沒(méi)瞧懂柳誠(chéng)到底在干什么,但是不妨礙她清楚柳誠(chéng)似乎解決了一個(gè)大問(wèn)題。
她點(diǎn)頭說(shuō)道:“接到了,她回自己家了,她媽不是在京城給她買了房子嗎?還把家里的劉姨和司機(jī)阿標(biāo)都接到了京城。她好著呢,你放心吧。”
“這樣,行,我在寫(xiě)一份csrf防御簡(jiǎn)報(bào)給他們,就可以下班了。”柳誠(chéng)抻著身子,上了個(gè)廁所,繼續(xù)奮戰(zhàn)。
一直寫(xiě)到了傍晚的時(shí)候,柳誠(chéng)才算完成了。
csrf的防御十分簡(jiǎn)單,但是開(kāi)發(fā)者要防御這種攻擊,需要解決的問(wèn)題很多,服務(wù)端和客戶端兩方面著手,工作量極大。
正是因?yàn)闃O大的工作量,所以多數(shù)開(kāi)發(fā)者都圖省勁兒,要么不部署,要么直接一紙用戶協(xié)議,將自己的責(zé)任摘的一干二凈。
第(2/3)頁(yè)
主站蜘蛛池模板:
华容县|
墨江|
抚州市|
修文县|
宜兰市|
奉贤区|
高尔夫|
惠州市|
临高县|
汝州市|
瑞昌市|
桐城市|
台安县|
高雄县|
得荣县|
淮北市|
南开区|
巴塘县|
温州市|
田林县|
寿阳县|
保康县|
望奎县|
叙永县|
红桥区|
金坛市|
茶陵县|
云林县|
吉林省|
沂水县|
乌海市|
宣城市|
博罗县|
建水县|
边坝县|
浑源县|
于都县|
海门市|
句容市|
政和县|
沭阳县|