小迪安全--csrf和ssrf

csrf和ssrf

  • csrf
  • ssrf

csrf

csrf,是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
小迪安全--csrf和ssrf_第1张图片
小迪安全--csrf和ssrf_第2张图片

ssrf

SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF是要目标网站的内部系统。(因为他是从内部系统访问的,所以可以通过它攻击外网无法访问的内部系统,也就是把目标网站当中间人)

SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,文档,等等。小迪安全--csrf和ssrf_第3张图片
小迪安全--csrf和ssrf_第4张图片
即攻击者以web服务器为跳板,请求内网资源。攻击者直接请求是不行的,但可以借服务器去请求。
小迪安全--csrf和ssrf_第5张图片
当搜索http://127.0.0.1
小迪安全--csrf和ssrf_第6张图片

你可能感兴趣的:(渗透测试,安全)