没有任何问题,没有任何的奇怪的地方,黑客们就像是那张卡的本人一样,顺利的转走了账户里所有的钱,然后消失的无影无踪。
一直到第二天清晨的时分,柳诚才想起一个可能的方向,但是他太累了,趴在桌子上昏昏沉沉的睡着了。
再醒来的时候,已经中午,柳依诺坐在旁边,还把羽绒服给他盖上了。
柳诚肚子饿的咕咕叫,但是他颇为兴奋的打开了显示器,十分确定的说道:“我知道了!”
他在睡之前,想到了一个方向,在梦里他一直断断续续的做着乱七八糟的梦,等梦醒的时候,那些含糊不清的片段,慢慢的变得清晰了起来。
csrf,也就是跨域请求伪造,一种非常非常常见的web攻击方式,它很好防御,但是却被无数的开发者忽略,它的别名叫做“沉睡的巨人”。
简单来说,就是用户打开了招行信用卡中心并且登陆,网银返回了cookie给前端,浏览器将cookie保存了下来。
这个时候,如果用户没有登出网银的情况下,浏览器打开了新的网站,这个网站是一个危险网站。
网站上有一个超链接指向了招行信用卡中心,当用户点击这个危险网站的超链接时,浏览器的cookie就会被盗取,或者钱直接被转走。
“你先吃一口啊。”柳依诺看着已经凉了的午饭,用力的摇了摇头,柳诚就这个样,一旦工作起来,就什么都不管不顾了。
柳诚在springboot里建了一个项目,做了两个csrf的项目,复现了黑客的攻击手段。
他终于松了口气,这折腾了一天,他还以为什么复杂的技术,感情就是一个极其简单的csrf跨域请求伪造,怪不得在日志上什么都看不到。
他通过工作服务器再次复现了攻击,写好报告,选择了提交。
内容未完,下一页继续阅读