逻辑漏洞(超详细)

逻辑漏洞就是指攻击者利用业务的设计缺陷,获取敏感信息或破坏业务的完整性。一般出现在密码修改,越权访问,密码找回,支付交易等。

一、漏洞原理

网站开发人员在建设网站的时候,由于验证不严格,造成的bug,根本原因在于程序员对权限管理开发不熟悉。

二、漏洞危害

任意用户重置密码
提权/越权
交易支付
验证码绕过漏洞

......

三、产生位置

登录处
业务办理处
验证码处
支付处
密码找回处

1.登录处

2.业务办理处

3.验证码处

4.支付处

5.密码找回处

四、如何挖掘逻辑漏洞

确定业务流程--->寻找流程中可以被操控的环节--->分析可被操控环节中可能产生的逻辑问题--->尝试修改参数触发逻辑问题

相关推荐
独行soc18 分钟前
#渗透测试#批量漏洞挖掘#HSC Mailinspector 任意文件读取漏洞(CVE-2024-34470)
linux·科技·安全·网络安全·面试·渗透测试
Me4神秘1 小时前
Linux国产与国外进度对垒
linux·服务器·安全
老K(郭云开)2 小时前
谷歌浏览器安全输入控件-allWebSafeInput控件
安全
Whoisshutiao2 小时前
网安-XSS-pikachu
前端·安全·网络安全
还是奇怪3 小时前
Linux - 安全排查 2
linux·运维·安全
Clownseven9 小时前
云端备份与恢复策略:企业如何选择最安全的备份解决方案
安全
薄荷椰果抹茶11 小时前
【网络安全基础】第六章---Web安全需求
安全·web安全
HumanRisk18 小时前
降低网络安全中的人为风险:以人为本的路径
网络·安全·web安全
运维开发王义杰19 小时前
金融安全生命线:用AWS EventBridge和CloudTrail构建主动式入侵检测系统
安全·金融·aws
安全系统学习21 小时前
系统安全之大模型案例分析
前端·安全·web安全·网络安全·xss