-
XSS攻击过程
攻击者发现xss漏洞 → 构造代码 → 发送给受害人 → 受害者打开 → 攻击者获取受害人的cookie → 完成攻击
攻击者:需要登录到后台完成攻击 -
CSRF攻击过程
https://blog.csdn.net/CPriLuke/article/details/104451578
攻击者发现xss漏洞 → 构造代码 → 发送给受害人 → 受害者打开 → 受害者执行代码 → 完成攻击 -
ssrf攻击
定义:服务器请求伪造(server side request forgery) 攻击者在未能取得服务器所有权限时,利用服务器漏洞以服务器的身份发送一条构造好的请求给服务器所在的内容。
场景:ssrf可以对外网,服务器所在的内网,本地进行端口扫描,攻击运行在内网或本地的应用;或利用file协议读取本地协议;例如:curl -v http://服务器ip/?operate=http://127.0.0.1/etc/passwd, 虽然外部限制访问,但本地没有
总结: CSRF攻击者只负责构造代码,攻击由用户实现,CSRF少了cooke获取的步骤,为什么少了呢?因为受害人在执行恶意代码的时候就已经外成了攻击,而攻击者并没有参与进来。
而ssrf和xxs, csrf没有什么联系,ssrf的漏洞本质是服务器对外请求没有做限制。