CSRF與SSRF是什麼？它們之間有什麼區別？

　　在網路安全體系中，CSRF和SSRF是比較常見的兩種攻擊手段，同時也是最容易被混為一談的攻擊手段，CSRF中文名為跨站請求偽造、SSRF中文名為伺服器端請求偽造。那麼CSRF與SSRF的區別是什麼?從字面上來看，SSRF與CSRF不同的是，它是伺服器端發出的請求偽造而非從使用者一端提交，接下來我們來看看詳細的內容介紹。

　　CSRF

　　CSRF，本名為Cross-site requestforgery，也就是跨站請求偽造。

　　說到CSRF，不得不提一下XSS。CSRF看起來好像和XSS跨站指令碼攻擊有著不得不說的秘密，實則卻是兩個不同維度的情況。從名字上來看，同為跨站攻擊，XSS攻擊是跨站指令碼攻擊，CSRF攻擊是請求偽造，也就是CSRF攻擊本不是出自使用者之手，卻經過第三方惡意攻擊者的處理，偽裝成了受信任使用者的親歷親為。

　　攻擊者盜用了你的身份，以你的名義傳送惡意請求。CSRF能夠做的事情包括：以你的名義傳送郵件，發訊息，盜用你的賬號，甚至於購買商品，虛擬貨幣轉賬。

　　發生條件：

　　①登入受信任網站A，並在本地生成cookie。

　　②在不登出A的情況下，訪問危險網站B。

　　SSRF

　　SSRF，也就是Server Side RequestForgery---伺服器端請求偽造。有的大型網站在Web應用上提供了從其他伺服器獲取資料的功能。使使用者指定的URL web應用獲取圖片，下載檔案，讀取檔案內容。攻擊者利用有缺陷的Web應用作為代理攻擊遠端和內網的伺服器。

　　危害：

　　①可對內網，伺服器所在內網，受控伺服器進行埠掃描，獲取一些banner。

　　②對內網Web應用進行指紋識別，透過訪問預設檔案實現。

　　③攻擊內外網Web應用，主要是使用get引數就可以實現分攻擊。

　　④利用file協議讀取本地檔案。