在網絡安全體系中,CSRF和SSRF是比較常見的兩種攻擊手段,同時也是最容易被混為一談的攻擊手段,CSRF中文名為跨站請求僞造、SSRF中文名為伺服器端請求僞造。那麼CSRF與SSRF的差別是什麼?從字面上來看,SSRF與CSRF不同的是,它是伺服器端發出的請求僞造而非從使用者一端送出,接下來我們來看看詳細的内容介紹。
CSRF
CSRF,本名為Cross-site requestforgery,也就是跨站請求僞造。
說到CSRF,不得不提一下XSS。CSRF看起來好像和XSS跨站腳本攻擊有着不得不說的秘密,實則卻是兩個不同次元的情況。從名字上來看,同為跨站攻擊,XSS攻擊是跨站腳本攻擊,CSRF攻擊是請求僞造,也就是CSRF攻擊本不是出自使用者之手,卻經過第三方惡意攻擊者的處理,僞裝成了受信任使用者的親曆親為。
攻擊者盜用了你的身份,以你的名義發送惡意請求。CSRF能夠做的事情包括:以你的名義發送郵件,發消息,盜用你的賬号,甚至于購買商品,虛拟貨币轉賬。
發生條件:
①登入受信任網站A,并在本地生成cookie。
②在不登出A的情況下,通路危險網站B。
SSRF
SSRF,也就是Server Side RequestForgery---伺服器端請求僞造。有的大型網站在Web應用上提供了從其他伺服器擷取資料的功能。使使用者指定的URL web應用擷取圖檔,下載下傳檔案,讀取檔案内容。攻擊者利用有缺陷的Web應用作為代理攻擊遠端和内網的伺服器。
危害:
①可對内網,伺服器所在内網,受控伺服器進行端口掃描,擷取一些banner。
![谷歌浏覽器https和flash禁用的解決方法[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)