摘要：本文讲了一下CSRF攻击的基本原理以及基本过程。通俗的来讲CSRF攻击就是伪造被信任用户的请求，达到欺骗被攻击网站的目的。对于CSRF攻击的主要防御措施有验证HTTP头的Referer字段、验证HTTP头的Token字段以及在HTTP头中自定义属性并验证。从防御手段我们可以看出应对CSRF攻击，主要是解决判断请求的来源是否被信任问题，如果可以验证请求的发起者是可信的，那么该请求是可以被接受的。通过DVWA靶场的两个小实验，对CSRF攻击进行更直观的理解。 阅读全文

摘要：1.SSRF漏洞概述 服务端请求伪造（Server-side Request Forge）：是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。很多web应用都提供了从其他的服务器上获取数据的功能。使用指定的URL，web应用便可以获取图片，下载文件，读取文件内容等。SSRF的实质是利用存在缺陷的 阅读全文