1、CSRF攻擊者不需要登錄,越權攻擊者也得登錄,只是沒有做針對性的控制;
2、CSRF攻擊者自己不訪問受攻擊頁面,誘導受害者在登錄被攻擊系統後點擊攻擊頁面;越權攻擊者可以直接訪問受攻擊頁面;
3、CSRF一般受同源策略的限制,沒有返回值,只能提交請求,越權可以執行並獲取返回值,只是返回值超出了自身賬戶的權限。
4、CSRF可以用工具自動生成POC,越權則對比兩個不同參數的請求返回值的不同即可。
CSRF 越權區別
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章