大家好，我是 Kali 与编程讲师老 K，B 站和网易云课堂讲师，专注 Kali 教学，致力于帮助小白轻松学会 Kali 与编程，接下来你将分清《CSRF VS SSRF》。

很多刚接触渗透测试的小白，第一眼看到 CSRF 和 SSRF 都会犯迷糊，两个名词只差一个字母，读音、缩写看着也相近，实际作用、攻击逻辑和攻击目标完全不一样。今天咱们抛开晦涩的专业术语，用生活里的日常场景打比方，一步步把这两个漏洞讲明白，零基础也能轻松理解。

先来说CSRF，跨站请求伪造。咱们把它类比成生活里的 “冒名代操作”。举个很简单的例子，你登录了自己的社交账号，账号处于在线状态，这时有人发给你一个看似普通的网页链接，你随手点开了。这个链接背后藏着恶意代码，它会借着你当前已经登录的身份，偷偷替你完成操作，比如私自改你的头像、发动态、转账、修改个人资料。整个过程里，攻击者没法看到你的账号密码，也登不上你的账号，只是利用了你 “已登录” 这个状态，假借你的身份发起请求。

放到网络场景中，CSRF 的攻击核心是冒用当前用户身份。攻击发起在用户的浏览器端，目标是用户正在访问的正规网站。它有一个硬性前提：受害者必须处于登录状态，并且主动点击了恶意链接、访问了恶意页面。就像你家门没锁，外人没法进屋拿东西，但能借着门没锁的空子，在门口替你做一些对外的动作，全程看不到你家里的隐私信息。常见的防范方式也很好理解，网站增加验证码、二次确认、Token 令牌，就好比操作重要事项需要本人验证，杜绝别人冒名操作。

再讲SSRF，服务器端请求伪造，我们可以把它比作 “借别人的电脑当跳板打探消息”。换个生活场景理解：小区里有个公共快递驿站（对应网站服务器），驿站规定可以帮住户代收、查询其他网点的快递。有坏人利用驿站这个功能，故意填写奇怪的快递地址，让驿站主动去联系内部仓库、其他私密库房，查看里面的物品、调取内部记录。坏人自己进不了仓库，却借着驿站这个中间方，摸到了内网私密资源。

对应到网络里，SSRF 的攻击主体是网站服务器。很多网站自带请求外部链接、加载图片、调取接口的功能，攻击者就利用这些正常功能，诱导服务器主动去访问内网地址、本地服务、其他外网站点。它的攻击目标不再是普通用户，而是网站所在的服务器、服务器背后的内网。攻击者能借助服务器的权限，扫描内网端口、读取本地文件、探测内网服务，危害范围比 CSRF 更广。哪怕受害者没有登录任何账号，只要网站存在这个缺陷，攻击就能生效。

总结一下两者最核心的区别：CSRF 坑的是普通用户，靠冒用用户身份操作网站；SSRF 坑的是网站服务器，借服务器去攻击内网和其他服务。一个针对前端用户，一个针对后端服务器，攻击链路、使用场景、防护重点都天差地别。在 Kali 渗透测试中，这两个漏洞的检测工具、利用思路也完全不同，大家实操的时候一定要区分开，不要混淆。

评论区话题：你在学习过程中有没有把这两个漏洞弄混过？说说你的踩坑经历。

关注我，每天学习 Kali 知识。

免责声明：本文仅作技术学习交流，禁止用于非法攻击违法行为。

点击下方链接，学习黑客入门《Kali与编程最全课》

哔哩哔哩_bilibili