上班了,贝贝拿着快递一脸诧异,“我啥时候买的这个锅,我记得我没下单啊,莫非我睡着梦游来着?”鹿鹿见状苦笑不得,赶紧帮忙来个情景再现。
事情的前因后果是这样的:
贝贝昨天晚上睡觉之前刚刚注册了某购物网站的账户,然后浏览一个锅并加入购物车,突然收到一个邮件,点开之后发现是广告就立刻退出,后来就去睡觉了。
“你品,你细品。这就是你乱注册一些认证不过关的无良购物网站的惩罚了!”
这是一个典型的XSRF/CSRF攻击。
XSRF(Cross-site request forgery)攻击
官方解释:CSRF(跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。
简言之就是你在没退出某网站A的情况下去访问了网站B,如果网站A的某个接口存在漏洞,网站B就会利用这个漏洞盗用你的身份,以你的名义发送恶意请求。
所以,贝贝(非要加上自己的大头贴)购物的实际过程是这样的:
首先贝贝登陆了购物网站A,正在浏览某个商品,该网站的付费接口是xxx.com/pay?id=101,而且没有任何验证措施,存在漏洞。
随后贝贝收到一封邮件,隐藏着待加载的图片<img src="xxx.com/pay?id=101">, 在她查看邮件的时候,已经访问了A的付费接口,把锅给买下了。
这么一看是不是很可怕,但是正常情况下,很少有购物网站是这么不靠谱的,没有任何认证验证机制,还要利用钓鱼的方式引诱用户付费,也只有我们只靠脸吃饭的贝贝能上钩了。
这类攻击有两个前提:
- 网站A的某个接口确实存在漏洞;
- 用户在网站A登录过。
因此,网站对于这类攻击的防范也很简单:
在接口访问时增加验证流程,比如输入指纹、支付密码、短信验证码等等,主要工作由后端来完成,前端进行配合即可。
虽说,这种攻击看着很low,但这只是因为这个漏洞的接口非常重要,正常情况没有网站会疏忽到连这么重要的接口都保护不好。这类攻击往往发生在一些网站可能来不及维护的不太重要的接口,这可以帮助攻击网站刷流量、涨粉丝等等。
网络安全无处不在,安全篇就到这里了!
html5
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。