【開發運行之鹿鹿故事5】安全性之XSRF簡析

上班了，貝貝拿着快遞一臉詫異，「我啥時候買的這個鍋，我記得我沒下單啊，莫非我睡着夢遊來着？」鹿鹿見狀苦笑不得，趕忙幫忙來個情景再現。
事情的來龍去脈是這樣的：
貝貝昨天晚上睡覺以前剛剛註冊了某購物網站的帳戶，而後瀏覽一個鍋並加入購物車，忽然收到一個郵件，點開以後發現是廣告就馬上退出，後來就去睡覺了。
「你品，你細品。這就是你亂註冊一些認證不過關的無良購物網站的懲罰了！」
這是一個典型的XSRF/CSRF攻擊。

---

XSRF(Cross-site request forgery)攻擊
官方解釋：CSRF（跨站域請求僞造）是一種網絡的攻擊方式，該攻擊能夠在受害者絕不知情的狀況下以受害者名義僞造請求發送給受攻擊站點，從而在並未受權的狀況下執行在權限保護之下的操做，有很大的危害性。
簡言之就是你在沒退出某網站A的狀況下去訪問了網站B，若是網站A的某個接口存在漏洞，網站B就會利用這個漏洞盜用你的身份，以你的名義發送惡意請求。
因此，貝貝（非要加上本身的大頭貼）購物的實際過程是這樣的：

首先貝貝登錄了購物網站A，正在瀏覽某個商品，該網站的付費接口是xxx.com/pay?id=101，並且沒有任何驗證措施，存在漏洞。
隨後貝貝收到一封郵件，隱藏着待加載的圖片<img src="xxx.com/pay?id=101">， 在她查看郵件的時候，已經訪問了A的付費接口，把鍋給買下了。
這麼一看是否是很可怕，可是正常狀況下，不多有購物網站是這麼不靠譜的，沒有任何認證驗證機制，還要利用釣魚的方式引誘用戶付費，也只有咱們只靠臉吃飯的貝貝能上鉤了。

---

這類攻擊有兩個前提：

1. 網站A的某個接口確實存在漏洞；
2. 用戶在網站A登陸過。

所以，網站對於這類攻擊的防範也很簡單：
在接口訪問時增長驗證流程，好比輸入指紋、支付密碼、短信驗證碼等等，主要工做由後端來完成，前端進行配合便可。

---

雖然說，這種攻擊看着很low，但這只是由於這個漏洞的接口很是重要，正常狀況沒有網站會疏忽到連這麼重要的接口都保護很差。這類攻擊每每發生在一些網站可能來不及維護的不過重要的接口，這能夠幫助攻擊網站刷流量、漲粉絲等等。

網絡安全無處不在，安全篇就到這裏了！