xss、csrf、ssrf的区别

​ 要想搞懂这三者有什么区别,首先需要知道它们的原理。

xss

原理

跨站脚本攻击,攻击分类造成危害为:存储型>反射型>DOM型

与SQL注入差不多,SQL注入漏洞是WEB应用程序未对用户输入的参数严格的过滤,导致被攻击者恶意拼接SQL语句,被拼接的恶意SQL语句去数据库进行增删改查。

而XSS漏洞,是攻击者在HTML页面嵌入恶意代码,当用户浏览到这里时,嵌入在html中的恶意代码会被执行。

CSRF

原理

跨站请求伪造,伪造用户的身份去操作一些用户不知道的事情。

通俗的来说,就是你去酒店开了一个666的房间(你信任的网站),在没有退房的情况下(保留cookie),出门去了,此时我来到前台跟前台(服务器)说我(你不信任的危险网站)是666房间的,然后我拿到666的房卡(伪造你的身份),前台(服务器)不认识,从而进入你的房间搞破坏。

所以完成CSRF攻击,需要满足:

1、受害者登录信任网站A,在本地保存了cookie

2、受害者在A网站,访问了攻击者的B网站

SSRF

原理

跨服务器请求伪造,

一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。

由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。

区别

xss是盗取受害者的cookie等信息,之后进行其他操作

csrf是伪造受害者的信息,并没有盗取你的信息

ssrf是伪造服务端的信息,去探测内网

参考文章:

https://blog.csdn.net/allintao/article/details/129308525

相关推荐
云水一下6 小时前
DVWA从入门到精通(十一):XSS (Stored)(存储型XSS)
web安全·xss·dvwa·存储型
云水一下2 天前
DVWA从入门到精通(十):XSS (Reflected)(反射型XSS)
xss·dvwa·反射型
玄玄子2 天前
xss前端解决方案
前端·浏览器·xss
云水一下2 天前
DVWA从入门到精通(四):CSRF(跨站请求伪造)
安全·csrf·dvwa
Chengbei1120 天前
AISec真正拟人化全自动渗透工具!支持浏览器交互全自动化挖掘,SQL注入、XSS、越权等。
sql·安全·web安全·网络安全·自动化·系统安全·xss
杨先生哦20 天前
【2026热端攻防系列 3/12】反射型&存储型XSS全解:AI批量免杀、WAF绕过与企业级防御
前端·人工智能·笔记·web安全·xss
一拳一个娘娘腔21 天前
【第七期】漏洞攻防-前端篇:XSS 与 CSRF —— 当浏览器成为攻击者的“肉鸡”
前端·xss·csrf
杨先生哦22 天前
【2026 热端攻防系列 2/12】DOM 型 XSS 深度实战:AI 多态变形免杀 + 全维度防御
前端·人工智能·笔记·安全·web安全·xss
xiaofeichaichai22 天前
前端安全 XSS 与 CSRF
前端·安全·xss