CSRF
CSRF,本名為Cross-site requestforgery,也就是跨站請求偽造。
說到CSRF,不得不提一下XSS。CSRF看起來好像和XSS跨站腳本攻擊有着“不得不說的秘密”,實則卻是兩個不同維度的情況。從名字上來看,同為跨站攻擊,XSS攻擊是跨站腳本攻擊,CSRF攻擊是請求偽造,也就是CSRF攻擊本不是出自用戶之手,卻經過第三方惡意攻擊者的處理,偽裝成了受信任用戶的“親歷親為”。
攻擊者盜用了你的身份,以你的名義發送惡意請求。CSRF能夠做的事情包括:以你的名義發送郵件,發消息,盜用你的賬號,甚至於購買商品,虛擬貨幣轉賬。。。
發生條件:
1、登錄受信任網站A,並在本地生成Cookie。
2、在不登出A的情況下,訪問危險網站B。
參考鏈接:http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html
SSRF
SSRF,也就是Server Side RequestForgery---服務器端請求偽造。有的大型網站在web應用上提供了從其他服務器獲取數據的功能。使用戶指定的URL web應用獲取圖片,下載文件,讀取文件內容。攻擊者利用有缺陷的web應用作為代理攻擊遠程和內網的服務器(跳板)。
危害:
1、可對內網,服務器所在內網,受控服務器進行端口掃描,獲取一些banner
2、對內網web應用進行指紋識別,通過訪問默認文件實現。
3、攻擊內外網web應用,主要是使用get參數就可以實現分攻擊。
4、利用file協議讀取本地文件。