CSRF与SSRF比较
CSRF
CSRF,全名 Cross-site requestforgery,也就是 跨站请求伪造。XSS是跨站脚本攻击。与XSS比较,XSS攻击是跨站脚本攻击,CSRF是跨站请求伪造,也就是说CSRF攻击不是出自用户之手,是经过第三方的处理,伪装成了受信任用户的操作。XSS是让用户触发恶意代码,实际的操作还是用户本身进行的,只是用户是无意识的。
大部分网站还都是使用cookie,session等方式记录分辨受信任用户的身份。要伪造用户的操作最好的方法还是使用XSS或链接引导等,让用户在无意识的情况下完成操作。个人这样理解:XSS是CSRF实现方法中的一种。
SSRF
SSRF,全名Server Side RequestForgery,就是服务器端请求伪造。这是一种由攻击者构造i形成,由服务器端发起请求的一种安全漏洞。因其是由服务器端发起的,所以能够请求到与服务器相连但与外网隔离的**内部系统。**原因是服务端提供了从其他服务器应用获取数据的功能(例如分享等功能),但没有对目标进行过滤与限制。例如从指定URL地址获取网页文本内容,加载指定的图片,下载等。
本质就是:SSRF利用存在缺陷的Web应用作为代理攻击远程或本地 的服务器。
区别
总之,CSRF是服务器没有对用户提交是数据进行严格的控制,导致攻击者可以利用用户cookie信息伪造用户身份,向服务器发送请求。而SSRF是服务器对用户提供的URL地址过于信任,没有经过严格的检测,导致攻击者以此为跳板攻击其他服务器或内网。