CSRF,也就是跨域请求伪造,一种非常非常常见的WEB攻击方式,它很好防御,但是却被无数的开发者忽略,它的别名叫做“沉睡的巨人”。
简单来说,就是用户打开了招行信用卡中心并且登陆,网银返回了cookie给前端,浏览器将cookie保存了下来。
这个时候,如果用户没有登出网银的情况下,浏览器打开了新的网站,这个网站是一个危险网站。
网站上有一个超链接指向了招行信用卡中心,当用户点击这个危险网站的超链接时,浏览器的cookie就会被盗取,或者钱直接被转走。
“你先吃一口啊。”柳依诺看着已经凉了的午饭,用力的摇了摇头,柳诚就这个样,一旦工作起来,就什么都不管不顾了。
柳诚在SpringBoot里建了一个项目,做了两个csrf的项目,复现了黑客的攻击手段。
他终于松了口气,这折腾了一天,他还以为什么复杂的技术,感情就是一个极其简单的CSRF跨域请求伪造,怪不得在日志上什么都看不到。
他通过工作服务器再次复现了攻击,写好报告,选择了提交。
“真的是累死人啊。”柳诚伸着懒腰,狼吞虎咽的将已经有点凉的米饭吃掉,咕咕叫的肚子才有了满足的饱腹感。
柳诚含含糊糊的问道:“陈婉若接到了吗?不是早上的飞机吗?”
柳依诺点了点头,她还是没瞧懂柳诚到底在干什么,但是不妨碍她清楚柳诚似乎解决了一个大问题。
她点头说道:“接到了,她回自己家了,她妈不是在京城给她买了房子吗?还把家里的刘姨和司机阿标都接到了京城。她好着呢,你放心吧。”
“这样,行,我在写一份CSRF防御简报给他们,就可以下班了。”柳诚抻着身子,上了个厕所,继续奋战。
一直写到了傍晚的时候,柳诚才算完成了。
CSRF的防御十分简单,但
本章未完,请点击"下一页"继续阅读! 第2页 / 共4页