一、CSRF
1、CSRF是跨站请求伪造,xss是利用站点内的信任用户,而CSRF则是通过伪装成受信任用户请求受信任的网站
2、可以这样理解,就是攻击者利用目标用户的身份,以目标用户的名义执行某些非法操作。↓
CSRF攻击过程有两个重点↓
—目标用户已经登录了网站,可以执行网站功能
—目标用户访问了攻击者构造的URL
3、防护可以用CSRF token验证
二、SSRF
1、服务器端请求伪造,常用的协议是file,危害是可以任意读取本地文件。
http://192.168.x.x/pikachu-master/vul/ssrf/ssrf_curl.php?url=file://C:\1\1.txt(可读取本地文件)