csrf和ssrf

1、将课上的实验都做一遍，复现并解释csrf漏洞和ssrf漏洞

csrf:因更改密码无验证且是get传参，由于所有用户改密码都是同一url所以可以通过构建恶意url来钓鱼其他用户访问，其他用户访问时会用自己的cookie执行更改密码操作

这里登录用户为1337

访问恶意url

更改成功

ssrf:可以从url中获取数据，由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。

2、为ssrf漏洞编写白名单，实现仅允许http和https协议，验证效果

3、为xss漏洞编写防御程序，