SSRF是一种由攻击者构造形成由服务端发起请求的一个安全漏洞 一般情况下,SSRF攻击的目标是从外网无法访问的内部系统 可以对外网、内网、本地进行端口扫描,某些情况下端口的Banner会回显出来(比如3306的) 使用file:///协议读取本地文件 CSRF 的全称是Cross-site request forgery,即跨站请求伪造,我们可以简单的理解这种漏洞为,攻击者利用被攻击者的身份发起了某些被攻击者原本不知情的网络请求。包括以被攻击者的身 份发布一条微博,以被攻击者的身份发布一条留言,以被攻击者的身份关注某个用户的微博等。 CSRF能够做的事情包括 以你名义发送邮件 发消息 盗取...