【开发运行之鹿鹿故事5】安全性之XSRF简析

上班了，贝贝拿着快递一脸诧异，“我啥时候买的这个锅，我记得我没下单啊，莫非我睡着梦游来着？”鹿鹿见状苦笑不得，赶忙帮忙来个情景再现。
事情的来龙去脉是这样的：
贝贝昨天晚上睡觉以前刚刚注册了某购物网站的帐户，而后浏览一个锅并加入购物车，忽然收到一个邮件，点开以后发现是广告就马上退出，后来就去睡觉了。
“你品，你细品。这就是你乱注册一些认证不过关的无良购物网站的惩罚了！”
这是一个典型的XSRF/CSRF攻击。

---

XSRF(Cross-site request forgery)攻击
官方解释：CSRF（跨站域请求伪造）是一种网络的攻击方式，该攻击能够在受害者绝不知情的状况下以受害者名义伪造请求发送给受攻击站点，从而在并未受权的状况下执行在权限保护之下的操做，有很大的危害性。
简言之就是你在没退出某网站A的状况下去访问了网站B，若是网站A的某个接口存在漏洞，网站B就会利用这个漏洞盗用你的身份，以你的名义发送恶意请求。
因此，贝贝（非要加上本身的大头贴）购物的实际过程是这样的：

首先贝贝登录了购物网站A，正在浏览某个商品，该网站的付费接口是xxx.com/pay?id=101，并且没有任何验证措施，存在漏洞。
随后贝贝收到一封邮件，隐藏着待加载的图片<img src="xxx.com/pay?id=101">， 在她查看邮件的时候，已经访问了A的付费接口，把锅给买下了。
这么一看是否是很可怕，可是正常状况下，不多有购物网站是这么不靠谱的，没有任何认证验证机制，还要利用钓鱼的方式引诱用户付费，也只有咱们只靠脸吃饭的贝贝能上钩了。

---

这类攻击有两个前提：

1. 网站A的某个接口确实存在漏洞；
2. 用户在网站A登陆过。

所以，网站对于这类攻击的防范也很简单：
在接口访问时增长验证流程，好比输入指纹、支付密码、短信验证码等等，主要工做由后端来完成，前端进行配合便可。

---

虽然说，这种攻击看着很low，但这只是由于这个漏洞的接口很是重要，正常状况没有网站会疏忽到连这么重要的接口都保护很差。这类攻击每每发生在一些网站可能来不及维护的不过重要的接口，这能够帮助攻击网站刷流量、涨粉丝等等。

网络安全无处不在，安全篇就到这里了！