CSRF & SSRF代码审计 & 同源策略
CSRF & SSRF代码审计 & 同源策略
CSRF
可以根据跨站请求伪造
来进行管理员的增加获得账号
特性:
1、直接复现
成功–》存在漏洞
失败–》过滤缺陷–》绕过–》存在
失败–》过滤完整–》不存在
- 探针与防御
1、验证来源(数据包有来源验证)
2、看凭据有无token
3、看关键操作有无验证
伪造来源
1、伪造-需要在代码数据包文件固定来源
2、尝试在网站寻找可上传地方,上传数据包,取得当前同域名访问地址
SSRF
服务器请求伪造
可以直接获取内网的资源信息
白盒可能出现
1、根据功能分析
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 💫YaaBlog!