重啟2009!
柳誠要做的事情很簡單。
搞清楚黑客們到底是怎麼攻破銀行的網安係統。
至於其他人,各有各的作用,該抓賊的抓賊,該升級u盾的升級u盾,他們要為各大銀行進行行之有效的安全升級。
這份工作當然不是免費的,各個銀行方麵,也都在現場和所有人簽署了保密協議並且支付出場費。
緊急公共安全事件。
柳誠拿到了幾個移動硬盤,裡麵是他們的日誌文件,他看著柳依諾說道“你今天先回去吧,我這兒一時半會兒忙不完,明天早上估計也不行,接陳婉若的事情,就交給你了。”
柳依諾看著忙忙碌碌的眾人,點頭說道“夜宵要嗎?早飯、午飯我都給你送來吧。”
“也行吧。”柳誠點了點頭,向著實驗室走去。
有的忙了,這是柳誠的第一觀感。
第一個小案例,隻是小試牛刀罷了,後來的大規模攻擊,才是黑客們的大規模殺招,三千多萬一夜就被搬空,各大銀行束手無策,還得請放假的大觸們出手。
可想而知其難度。
大概率柳誠要鴿了陳婉若,還要鴿了晚上的地壇廟會了。
即便是柳誠已經十分高估了技術難度,但是他依舊小瞧了這次日誌檢查的難度。
沒有任何問題,沒有任何的奇怪的地方,黑客們就像是那張卡的本人一樣,順利的轉走了賬戶裡所有的錢,然後消失的無影無蹤。
一直到第二天清晨的時分,柳誠才想起一個可能的方向,但是他太累了,趴在桌子上昏昏沉沉的睡著了。
再醒來的時候,已經中午,柳依諾坐在旁邊,還把羽絨服給他蓋上了。
柳誠肚子餓的咕咕叫,但是他頗為興奮的打開了顯示器,十分確定的說道“我知道了!”
他在睡之前,想到了一個方向,在夢裡他一直斷斷續續的做著亂七八糟的夢,等夢醒的時候,那些含糊不清的片段,慢慢的變得清晰了起來。
csrf,也就是跨域請求偽造,一種非常非常常見的eb攻擊方式,它很好防禦,但是卻被無數的開發者忽略,它的彆名叫做“沉睡的巨人”。
簡單來說,就是用戶打開了招行信用卡中心並且登陸,網銀返回了okie給前端,瀏覽器將okie保存了下來。
這個時候,如果用戶沒有登出網銀的情況下,瀏覽器打開了新的網站,這個網站是一個危險網站。
網站上有一個超鏈接指向了招行信用卡中心,當用戶點擊這個危險網站的超鏈接時,瀏覽器的okie就會被盜取,或者錢直接被轉走。
“你先吃一口啊。”柳依諾看著已經涼了的午飯,用力的搖了搖頭,柳誠就這個樣,一旦工作起來,就什麼都不管不顧了。
柳誠在srgboot裡建了一個項目,做了兩個csrf的項目,複現了黑客的攻擊手段。
他終於鬆了口氣,這折騰了一天,他還以為什麼複雜的技術,感情就是一個極其簡單的csrf跨域請求偽造,怪不得在日誌上什麼都看不到。