浅淡系列之似是而非的CSRF和SSRF

前言

       罗翔老师用张三代替所有犯罪分子,以后的文章里,我就用王麻子来特指心怀不轨的网络安全犯罪分子。

本文涉及简称:

Cookie:储存在用户本地终端上的数据帮助,用户实现记录用户个人信息;

URL:统一资源定位符,程序上用于指定信息位置的表示方法,可以理解为大家口中常说的网址。

前情回顾

       在上两篇浅谈系列有谈到CSRF和SSRF两类漏洞(点击可达原文查看详情),今天这俩货看着和听着都是那么的相似,但又那么的不一样,今天我们就仔细来盘盘它俩的同与不同。先各自一句话总结回顾一下:

CSRF:英文全称Cross-Site Request Forgery,跨站请求伪造。王麻子盗用你的身份,欺骗你的浏览器用你的名义发送恶意的请求。

SSRF:英文全称Server-Side Request Forgery,服务器端请求伪造。王麻子构造特殊链接传给服务器端执行,欺骗这个服务器实现各种操作。

一、相似之处

1、字辈相同

       显然,CSRF和SSRF它俩是一个字辈的,都是请求伪造辈,通过伪造合法的内容,实现自己的小九九。

2、利用模式相同

       它俩都是利用某个媒介作为跳板,将自己伪造的合法内容,传递给默默工作的服务后端。

二、不同之地

1、利用的信任原理不同

       CSRF是利用网站对用户浏览器的信任,而SSRF是用服务器对用户提供的可控URL地址的信任

2、案发点不同(跳板媒介不同

       上文有提到它俩都是利用某个媒介作为跳板,但是,CSRF是把用户的浏览器当作媒介跳板,而SSRF是把服务后端的服务器当作媒介跳板。

3、受害对象不同

       这俩都能造成很大的损失,CSRF的受害对象一般是用户本人,SSRF的受害对象首先是访问的网站本身,其次还可能是网站所在公司的其他网站

三、写在最后

       段永平曾说过,重要的事情要尽早开始做,不要让它变成紧急的事情。那么问题来了,你会选择一开始就着手准备以除后患,还是等到东窗事发再来亡羊补牢呢?

下期预告:浅谈系列之CSRF攻守之道,敬请期待~

  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hobby云说

你的鼓励将是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值