1、CSRF攻击者不需要登录,越权攻击者也得登录,只是没有做针对性的控制;
2、CSRF攻击者自己不访问受攻击页面,诱导受害者在登录被攻击系统后点击攻击页面;越权攻击者可以直接访问受攻击页面;
3、CSRF一般受同源策略的限制,没有返回值,只能提交请求,越权可以执行并获取返回值,只是返回值超出了自身账户的权限。
4、CSRF可以用工具自动生成POC,越权则对比两个不同参数的请求返回值的不同即可。
1、CSRF攻击者不需要登录,越权攻击者也得登录,只是没有做针对性的控制;
2、CSRF攻击者自己不访问受攻击页面,诱导受害者在登录被攻击系统后点击攻击页面;越权攻击者可以直接访问受攻击页面;
3、CSRF一般受同源策略的限制,没有返回值,只能提交请求,越权可以执行并获取返回值,只是返回值超出了自身账户的权限。
4、CSRF可以用工具自动生成POC,越权则对比两个不同参数的请求返回值的不同即可。