请求验证额外也称实时令牌则是对应该入侵手段的一种防范措施,真网站可以在用户会话中生成一个额外的请求验证令牌(CSRFToken),相当于特有的语言习惯,没说一句话前面都要加上
最出名的,是海贼王空岛篇,空岛天使每句话之前的“哈索。”
这个额外令牌会被嵌入到每个表单或请求中,在用户的每一次对话请求时,真网站都会验证令牌的有效性。
假网站原则上只能获得用户输入内容,无法获得真网站和用户对话内容,所以就无法获得该令牌,因为它是隐藏在用户的对话中数据包中。
如果请求中没有有效的令牌或令牌验证失败,目标网站可以拒绝该请求,立即终止用户任何行为。
正常来讲,这是一个相当有效的防范手段,也是一个网络应该具备的最基本的防护措施。
这个苏尔斯说他能拦截对话信息找到额外令牌,电脑前的男生挑了一下眉头,偏头对着杨回笑道:佼佼者,我也想找他。
();() 他叫谢瑜,27岁网络安全博士,专攻网络隐私与匿名性
“五分钟,别人说的。”
杨回看着屏幕,“最.....”
话没说完,屏幕跳出来一封新邮件提醒:“你在哪知道的我邮箱?”
“fine。”
谢瑜将早就编辑好的草稿转了过去:我是在SO(StackOverflow)上查找解决方法是看到你的技术分享,感谢你还在用这个邮箱。
关于你获取动态验证token的那篇技术回答中,有两个小问题,我始终不能正确验证,如果你方便,能不能给我详细解释一下?我可以付费。
杨回拍了一下脑门,感叹道:“完了,打了个水漂,没听见响。”
谢瑜挥手道:“OKOK。
你站到旁边,我们先来追踪一下他的大致ip,看看是服务器还是私人。”
“邮件怎么追。”
“不一定能追到,所以我没把问题一起发过去,是想跟他多几封通话。
首先看一下...你要听详细的吗,额外的钱。”
“deal。
50”
成交,涨50%。
“谢谢惠顾。”
谢瑜调出邮件原始信息,还没看,又来了一封新邮件:可以,你说。
他没立即回复,而是对着信息一边往下翻一边道:“there,所有的邮件都有一个原始代码。
在原始邮件头中,有一个以“Received“(接收)开头的条目,这些条目列出了邮件经过的服务器和相关的元数据。
这里面就包括IP地址标识,通常在一个方括号里面,诶。”
他指了一下屏幕上的一串数字冒号:“就这个,现在看一下前一封邮件的原始信息,看看两封是不是一样的。”
说着调出前一封比兑了一下,数据相同,谢瑜大喜,拍了下巴掌,“非常好,再来看下其他内容。
一般该条目也会包含该ip的其它信息,例如服务器名称、域名、标识符等。
如果条目明确指示它是一个服务器,那么这个ip地址基本是服务器。
服务器可以跳转指代,通常是公共IP地址,很难直接追踪。
如果没有明确指示,那就有可能是私有ip地址,更精确,不过具体是不是,要查过地址范围才可以确定,那玩意儿我没记过。
等下,非常好,这没有说是服务器。”
他看向杨回:“等我比兑一下地址范围,如果是私有最好。
不过在此之前,我得先回他一封邮件。”
请关闭浏览器阅读模式后查看本章节,否则将出现无法翻页或章节内容丢失等现象。