柳诚要做的事情很简单。
搞清楚黑客们到底是怎么攻破银行的网安系统。
至于其他人,各有各的作用,该抓贼的抓贼,该升级u盾的升级u盾,他们要为各大银行进行行之有效的安升级。
这份工作当然不是免费的,各个银行方面,也都在现场和所有人签署了保密协议并且支付出场费。
紧急公共安事件。
柳诚拿到了几个移动硬盘,里面是他们的日志文件,他看着柳依诺说道:“你今天先回去吧,我这儿一时半会儿忙不完,明天早上估计也不行,接陈婉若的事情,就交给你了。”
柳依诺看着忙忙碌碌的众人,点头说道:“夜宵要吗?早饭、午饭我都给你送来吧。”
“也行吧。”柳诚点了点头,向着实验室走去。
有的忙了,这是柳诚的第一观感。
第一个小案例,只是小试牛刀罢了,后来的大规模攻击,才是黑客们的大规模杀招,三千多万一夜就被搬空,各大银行束手无策,还得请放假的大触们出手。
可想而知其难度。
大概率柳诚要鸽了陈婉若,还要鸽了晚上的地坛庙会了。
即便是柳诚已经十分高估了技术难度,但是他依旧小瞧了这次日志检查的难度。
没有任何问题,没有任何的奇怪的地方,黑客们就像是那张卡的本人一样,顺利的转走了账户里所有的钱,然后消失的无影无踪。
一直到第二天清晨的时分,柳诚才想起一个可能的方向,但是他太累了,趴在桌子上昏昏沉沉的睡着了。
再醒来的时候,已经中午,柳依诺坐在旁边,还把羽绒服给他盖上了。
柳诚肚子饿的咕咕叫,但是他颇为兴奋的打开了显示器,十分确定的说道:“我知道了!”
他在睡之前,想到了一个方向,在梦里他一直断断续续的做着乱七八糟的梦,等梦醒的时候,那些含糊不清的片段,慢慢的变得清晰了起来。
csrf,也就是跨域请求伪造,一种非常非常常见的web攻击方式,它很好防御,但是却被无数的开发者忽略,它的别名叫做“沉睡的巨人”。
简单来说,就是用户打开了招行信用卡中心并且登陆,网银返回了cookie给前端,浏览器将cookie保存了下来。
这个时候,如果用户没有登出网银的情况下,浏览器打开了新的网站,这个网站是一个危险网站。
网站上有一个超链接指向了招行信用卡中心,当用户点击这个危险网站的超链接时,浏览器的cookie就会被盗取,或者钱直接被转走。
“你先吃一口啊。”柳依诺看着已经凉了的午饭,用力的摇了摇头,柳诚就这个样,一旦工作起来,就什么都不管不顾了。
柳诚在springboot里建了一个项目,做了两个csrf的项目,复现了黑客的攻击手段。
他终于松了口气,这折腾了一天,他还以为什么复杂的技术,感情就是一个极其简单的csrf跨域请求伪造,怪不得在日志上什么都看不到。
他通过工作服务器再次复现了攻击,写好报告,选择了提交。
“真的是累死人啊。”柳诚伸着懒腰,狼吞虎咽的将已经有点凉的米饭吃掉,咕咕叫的肚子才有了满足的饱腹感。
柳诚含含糊糊的问道:“陈婉若接到了吗?不是早上的飞机吗?”
柳依诺点了点头,她还是没瞧懂柳诚到底在干什么,但是不妨碍她清楚柳诚似乎解决了一个大问题。
她点头说道:“接到了,她回自己家了,她妈不是在京城给她买了房子吗?还把家里的刘姨和司机阿标都接到了京城。她好着呢,你放心吧。”
“这样,行,我在写一份csrf防御简报给他们,就可以下班了。”柳诚抻着身子,上了个厕所,继续奋战。
一直写到了傍晚的时候,柳诚才算完成了。
csrf的防御十分简单,但是开发者要防御这种攻击,需要解决的问题很多,服务端和客户端两方面着手,工作量极大。
正是因为极大的工作量,所以多数开发者都图省劲儿,要么不部署,要么直接一纸用户协议,将自己的责任摘的一干二净。
各大网络游戏厂商可以这么做,但是银行不能这么做,柳诚将安报告写好,发给了田伟德之后,站起身来,找到了田伟德的办公室。
“田老师,我的活儿干完了。”柳诚看着一起熬了个通宵的田伟德就是摇头,这件事的复杂程度并不是找到攻击手段就可以结束,那只是柳诚分内的工作,田伟德负责此次紧急安事件的处理,非常的复杂。
网络犯罪的多元化和匿名化,让这种紧急事件变得更加困难。
“好。”田伟德还在忙,他也没有多少功夫寒暄,点头示意柳诚可以离开了。
柳诚看着柳依诺一脸迷糊的模样,笑着说道:“他们至少得忙活儿一周的时间。”
“我的工作呢,算是给他们一团乱麻中找到了个线头,他们揪着这个线头,就可以不断的挖出背后的人了,不过那和我没什么关系了。”
出现这样的问题,其实和现在国内互联
本章未完,点击下一页继续阅读