小迪day29打卡，WEB漏洞-CSRF及SSRF漏洞案例讲解
CSRF 跨站请求伪造，例如get修改数据包的内容。
防御方案：
1、发送重要请求时，需要输入原始密码。
2、设置随机Token。
3、检验referer来源，同源策略。
4、设置验证码。
5、限制请求方式为POST。
然后是SSRF，服务端请求伪造（达到访问目标内网的主机）
可以使用不同的协议，重要的是如何发现，有明显特点，像一些远程上传图片地址。
发现一些漏洞可以直接百度搜注入语句。
突然发现今天的内容有点少了。