CSRF(跨站请求伪造)和SSRF(服务器端请求伪造)是网络安全中的重要概念。CSRF攻击利用用户的已登录状态,伪装成用户发起恶意请求,而SSRF则通过服务器作为中介,攻击内部系统。这两种攻击方式各有特点,CSRF常针对用户信任的网站,SSRF则利用服务端的漏洞访问受限资源。了解并防范这两种攻击对于网站安全至关重要。
csrf
csrf,是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
ssrf
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF是要目标网站的内部系统。(因为他是从内部系统访问的,所以可以通过它攻击外网无法访问的内部系统,也就是把目标网站当中间人)
SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,文档,等等。
即攻击者以web服务器为跳板,请求内网资源。攻击者直接请求是不行的,但可以借服务器去请求。
当搜索http://127.0.0.1时
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
