脚本之家
你与百万开发者在一起
作者:寒食君i
已获原作者授权,如需转载,请联系原作者。
《银河边缘》
在这个世界中,有人的地方就有江湖。网络也是一样,由于其相对匿名的特性,其中的攻防甚至更为激烈。
随着智能手机的兴起,越来越多的人开始接入互联网,同时,以此为基础的灰产也在蒸蒸日上。虽然几乎全社会都浸淫在移动互联网中,但技术对他们来说是透明的。对于可用性上来说,这是极好的,能够使得老幼妇孺都能享受到这种便利,但另一方面,由于对技术的不了解,就仿佛随时有无形的杀手潜伏在周围,毫无还手之力。
仅关于“点击链接”,就有各种诈骗相关的新闻,不胜枚举。其中最耸人听闻的是:由于点击了钓鱼链接,导致银行账户直接被洗劫一空。在这个新闻首次被报道时,我妈噤若寒蝉,这些在她眼中似乎都是魔法。那时的我就十分好奇,骗子真有如此神通吗?毕竟人人都得遵循基本的物理呀。
后来我知道,其中一部分原因是很多无良媒体喜欢夸大事实,故意引导公众情绪;另一方面,在网络世界中,由于技术的不成熟或者开发人员的不成熟,存在着一些漏洞。
由于我才疏学浅,只能从最基本处讲起。这篇文章来谈一谈CSRF。
CSRF(CrossSiteRequestForgery,跨站域请求伪造)虽然是一种基本的攻击方式,但是它覆盖面极广,而且常常被忽视。
我记得从初中起,QQ空间常常会出现一些陌生人的留言,内容为:“这是那天我们聚会的照片,我发在这里了:XXX链接”或是“有人把你的照片贴在这里了,这是你吗?XXX链接”。
后来,在每年开学都会收到一份发件人为“教务处”的邮件,内容为:“这是上学期的成绩单”或者“这是这学期的课程安排”等,再配以一张