CSRF与SSRF
Posted 澪基础le
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了CSRF与SSRF相关的知识,希望对你有一定的参考价值。
CSRF
什么是CSRF
跨站请求伪造,是一种对网站的恶意利用,xss跨站脚本攻击,XSS是利用站点内地信任用户,CSRF则是通过伪装来自信任用户请求来利用受信任网站。简单的来说就是和XSS一样的攻击,攻击者盗用了你的名义然后以你的名义去做一些恶意请求,但是这个恶意请求从服务器上面看是合法的,却完成了攻击者的攻击目的,CSRF攻击比较少,最大的原因是因为CSRF执行的条件太苛刻了,但CSRF更加难以防范,危害也是非常大。
原理总结
CSRF的攻击实现分为三个部分
第一部分 判断CSRF漏洞
然后发包 如果网页正常的运行了 那么这个网页很有可能有csrf漏洞
第二部分 伪装数据操纵请求的恶意连接或页面
CSRF漏洞已经被发现了,然后下一步我们就构造一个恶意网页然后诱惑受攻击者去点击,或者我们对(修改和新增的数据)操作进行请求的伪装,使其在受害者cookie还生效的情况下点击请求连接,然后就触发了CSRF漏洞,然后我们就可以进行后续操作了如修改密码之类的。
当前在用户不知情的情况下,即在用户非本意的情况下完成一些非法操作,此时后台并不会察觉到是黑客攻击,只能审计到一些用户的信息,并不能察觉到黑客的信息。
SSRF一般存在一些分享 转发 翻译 图片加载与下载里面
存在SSRF的url
以上是关于CSRF与SSRF的主要内容,如果未能解决你的问题,请参考以下文章