首页 > 其他分享 >CSRF和SSRF有什么区别?网络安全入门

CSRF和SSRF有什么区别?网络安全入门

时间:2023-10-23 13:01:45浏览次数:40  
标签:网络安全 SSRF 攻击 用户 CSRF 攻击者 服务器

CSRF和SSRF有什么区别?网络安全入门

现在是万物互联时代,一切都是信息化的,会涉及到个人隐私信息,一些不法分子可能会利用一些手段获取我们的信息,信息泄露出去便会有危险,因此就诞生了网络安全工程师这个岗位,近几年它的需求量也很大,那CSRF和SSRF有什么区别呢?请看下文:CSRF:说到CSRF,就不得不提一下XSS了,从名字上看来,同为跨站攻击,XSS攻击是跨站脚本攻击,CSRF攻击是请求伪造,也就是它攻击不是出自用户之手,却经过第三方恶意攻击者的处理,伪装成了受信任用户的行为。我们所能见到的大部分网站,都是通过cookie等方式记录、分辨出受信任用户的身份,再予以授权的。所以要伪造用户的正常操作,最好的方法是通过XSS或链接引导等途径,让用户在本机发起自己所不知道的危险请求,使得恶意攻击有机可乘,获取用户cookie等信息,以达到身份伪装目的。看到这里不知您是否有所明白,XSS是实现CSRF的诸多途径中的一条,但并不是唯一的一条。SSRF:也就是Server Side RequestFrogery,服务器端请求伪造,从字面来看,与CSRF不同的是,它是服务器端发出的请求伪造而非用户一段提交,作为受信任用户,服务器当然不可能做出损害用户信息的事。它是一种由攻击者构造形成,由服务端发起请求的一个安全漏洞。因为它是由服务端发起的,所以它能够请求到与它相连但与外网隔离的内部系统。由于服务端提供了从其他服务器应用获取数据的功能(例如分享等功能)且没有对目标地址做过滤与限制,给予了攻击者乘虚而入的机会。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。SSRF是利用存在缺陷的web应用作为代理攻击远程和本地的服务器。总的来说,CSRF是服务器端没有对用户提交的数据进行严格的把控,导致攻击者可以利用用户的Cookie信息伪造用户请求发送至服务器。而SSRF是服务器对用户提供的可控URL地址过于信任,没有经过严格检测,导致攻击者可以以此为跳板攻击内网或其他服务器。举报/反馈 原文链接:https://baijiahao.baidu.com/s?id=1708304482365545918&wfr=spider&for=pc

标签:网络安全,SSRF,攻击,用户,CSRF,攻击者,服务器
From: https://www.cnblogs.com/sunny3158/p/17782160.html

相关文章

  • 2023中山市香山杯网络安全大赛 pintu Writeup
    Misc题目名称:pintu题目描述:转换拼接好的图片时在最后加个f题目内容分析:给出4703张黑白图片,然后还有提示是8->10根据提示,很明显在说明进制数,也就是8进制转10进制。因此,根据提示想哪些东西可以转数值看到图片只有黑白,于是将其替换成二进制,并转成字符。根据验证这里是将白......
  • DVWA CSRF medium
    一、DVWACSRFmedium代码分析if(stripos($_SERVER['HTTP_REFERER'],$_SERVER['SERVER_NAME'])!==false){...}medium添加了对httpreferer头的判断,但只是简单的判断。只要httpreferer头里包服务器域名就可以了。二、实现步骤1、把DVWA部署在127.0.0......
  • web基础漏洞-ssrf
    手把手用实战教你SSRF漏洞从入门到精通-FreeBuf网络安全行业门户(1封私信/38条消息)ssrf业务-搜索结果-知乎(zhihu.com)1、介绍ssrf,server-serverrequestforgery服务端到服务端的请求伪造,或者server-siderequestforgery服务端侧的请求伪造。攻击的一般是服务端......
  • web基础漏洞-csrf
    1、定义csrf,crossscriptrequestforgery跨站请求伪造,是受害者用户在登录目标网站A后,攻击者基于社工手段使其在同主机同浏览器环境下,访问攻击者控制的网站B,网站B的页面伪造请求通过该浏览器提交到网站A,同时携带对网站A保存在浏览器中的cookie登录凭证,使得网站A的服务端接收后认......
  • 网络安全
                         ......
  • 网络安全应急响应工程师需要具备哪些能力?
    网络安全中细分的工作岗位有很多,除了常见的安全运维工程师、安全服务工程师、渗透测试工程师、网络安全工程师之外,还有代码审计工程师、应急响应工程师等。那么网络安全中什么是应急响应工程师?来看看具体内容介绍。应急响应工程师是网络安全大方向下网络安全与维护岗的一......
  • 网络安全考研院校推荐
    考研预报名开始了大部分院校也出来了考纲本篇文章盘点一下网络空间安全(080911TK)考研院校推荐以下仅供参考,详情可去学校官网查看招生简章2023一志愿录取分数线院校录取最低分录取平均分南昌大学279304河北师范大学271311天津理工大学273298中山大学304357河北大学289......
  • CSRF篇
    CSRFCSRF(Cross-SiteRequestForgery)漏洞是一种Web应用程序安全漏洞,它利用了用户在已登录的Web应用程序上的身份验证状态。攻击者通过欺骗用户使其执行非预期的操作,从而利用用户的权限发起恶意请求。无任何防护网站CSRF攻击:先抓取到那个你要实现的功能的那个数据包(比如说你要......
  • 网络安全知识导航
    <spanstyle="color:red"></span><spanstyle="color:yellow"></span><spanstyle="color:green"></span>网络基础网络通信IP地址OSI七层模型客户端与服务端协议和端口网站构成WEB安全SQL注入课前导论自学部分市场上主流的数据库,及常搭配后端语言;......
  • 2023中山市第三届香山杯网络安全大赛线上初赛
    序被带飞了PWNmove先往变量sskd写入0x20字节,往第二个输入点输入0x12345678即可进入到第三个输入点,存在0x8字节的溢出。思路是在第一个输入点布置rop链,然后利用第三个输入点的溢出,打栈迁移然后泄libc后重新返回到main函数,这里要注意的是移了栈之后,栈顶指针就指......