CSRF和越權(quán)

近日使用burp測(cè)試系統(tǒng)的時(shí)候發(fā)現(xiàn)了一些疑似CSRF，經(jīng)驗(yàn)證都是越權(quán)而非CSRF?？偨Y(jié)了以下幾點(diǎn)。當(dāng)然，也可能就是CSRF，自己水平不夠沒(méi)能挖掘出來(lái)。先記下來(lái)，如果有懂的大牛，可以指點(diǎn)一下。

一、相似之處

二者的成因都是利用cookie，沒(méi)有對(duì)請(qǐng)求沒(méi)有做嚴(yán)格控制，服務(wù)器端執(zhí)行了惡意請(qǐng)求，最后被攻擊。

二、區(qū)別

1、CSRF攻擊者不需要登錄，越權(quán)攻擊者也得登錄，只是沒(méi)有做針對(duì)性的控制；

2、CSRF攻擊者自己不訪問(wèn)受攻擊頁(yè)面，誘導(dǎo)受害者在登錄被攻擊系統(tǒng)后點(diǎn)擊攻擊頁(yè)面；越權(quán)攻擊者可以直接訪問(wèn)受攻擊頁(yè)面；

3、CSRF一般受同源策略的限制，沒(méi)有返回值，只能提交請(qǐng)求，越權(quán)可以執(zhí)行并獲取返回值，只是返回值超出了自身賬戶的權(quán)限。

4、CSRF可以用工具自動(dòng)生成POC，越權(quán)則對(duì)比兩個(gè)不同參數(shù)的請(qǐng)求返回值的不同即可。