CSRF
攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你的名义发送邮件,发消息,盗用你的账号,甚至于购买商品,虚拟货币转账。。。
发生条件:
1、登录受信任网站A,并在本地生成Cookie。
2、在不登出A的情况下,访问危险网站B。
参考链接:http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html
https://github.com/pillarjs/understanding-csrf
SSRF
叫做服务端请求伪造攻击,有的大型网站在web应用上提供了从其他服务器获取数据的功能。使用户指定的URL web应用获取图片,下载文件,读取文件内容。攻击者利用有缺陷的web应用作为代理攻击远程和内网的服务器(跳板)。
危害:
1、可对内网,服务器所在内网,受控服务器进行端口扫描,获取一些banner
2、对内网web应用进行指纹识别,通过访问默认文件实现。
3、攻击内外网web应用,主要是使用get参数就可以实现分攻击。
4、利用file协议读取本地文件。
https://github.com/jayeshchauhan/SKANDA