1、CSRF攻擊者不需要登錄,越權攻擊者也得登錄,只是沒有做針對性的控制;
2、CSRF攻擊者自己不訪問受攻擊頁面,誘導受害者在登錄被攻擊系統後點擊攻擊頁面;越權攻擊者可以直接訪問受攻擊頁面;
3、CSRF一般受同源策略的限制,沒有返回值,只能提交請求,越權可以執行並獲取返回值,只是返回值超出了自身賬戶的權限。
4、CSRF可以用工具自動生成POC,越權則對比兩個不同參數的請求返回值的不同即可。
1、CSRF攻擊者不需要登錄,越權攻擊者也得登錄,只是沒有做針對性的控制;
2、CSRF攻擊者自己不訪問受攻擊頁面,誘導受害者在登錄被攻擊系統後點擊攻擊頁面;越權攻擊者可以直接訪問受攻擊頁面;
3、CSRF一般受同源策略的限制,沒有返回值,只能提交請求,越權可以執行並獲取返回值,只是返回值超出了自身賬戶的權限。
4、CSRF可以用工具自動生成POC,越權則對比兩個不同參數的請求返回值的不同即可。