CSRF
攻擊者盜用了你的身份,以你的名義發送惡意請求。CSRF能夠做的事情包括:以你的名義發送郵件,發消息,盜用你的賬號,甚至於購買商品,虛擬貨幣轉賬。。。
發生條件:
1、登錄受信任網站A,並在本地生成Cookie。
2、在不登出A的情況下,訪問危險網站B。
參考鏈接:http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html
https://github.com/pillarjs/understanding-csrf
SSRF
叫做服務端請求偽造攻擊,有的大型網站在web應用上提供了從其他服務器獲取數據的功能。使用戶指定的URL web應用獲取圖片,下載文件,讀取文件內容。攻擊者利用有缺陷的web應用作為代理攻擊遠程和內網的服務器(跳板)。
危害:
1、可對內網,服務器所在內網,受控服務器進行端口掃描,獲取一些banner
2、對內網web應用進行指紋識別,通過訪問默認文件實現。
3、攻擊內外網web應用,主要是使用get參數就可以實現分攻擊。
4、利用file協議讀取本地文件。
https://github.com/jayeshchauhan/SKANDA