![](https://img-blog.csdnimg.cn/20201014180756724.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
请求伪造
文章平均质量分 94
CSRF/SSRF
仙女象
web安全爱好者
展开
-
pikachu CSRF(跨站请求伪造) (皮卡丘漏洞平台通关系列)
一、官方介绍本节引用内容来自pikachu漏洞平台(删了一些内容,留下了最重要的部分,并为精炼语言进行了一些修改)1、我们判断一个网站是否存在CSRF漏洞,其实就是判断其对关键信息(比如密码等敏感信息)的操作(增删改)是否容易被伪造。2、本质是借用户的权限完成攻击,因此攻击成功需要用户已经通过验证获得了权限,并触发了攻击者提供的请求。3、网站如果要防止CSRF攻击,则需要对敏感信息的操作实施对应的安全措施,防止这些操作出现被伪造的情况,从而导致CSRF。比如:--对敏感信息的操作增加安全原创 2021-04-14 22:52:10 · 7532 阅读 · 12 评论 -
pikachu SSRF (Server-Side Request Forgery 服务器端请求伪造)(皮卡丘漏洞平台通关系列)
一、官方介绍本节引用内容来自pikachu漏洞平台SSRF(Server-Side Request Forgery:服务器端请求伪造)其形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据数据流:攻击者----->服务器---->目标地址根据后台使用的函数的不同,对应的影响和利用方法又有不一样PHP中下面函数的使用不当会导致SSRF:file原创 2021-04-10 22:30:37 · 2356 阅读 · 2 评论