逻辑漏洞就是指攻击者利用业务的设计缺陷,获取敏感信息或破坏业务的完整性。一般出现在密码修改,越权访问,密码找回,支付交易等。
一、漏洞原理
网站开发人员在建设网站的时候,由于验证不严格,造成的bug,根本原因在于程序员对权限管理开发不熟悉。
二、漏洞危害
任意用户重置密码
提权/越权
交易支付
验证码绕过漏洞
......
三、产生位置
登录处
业务办理处
验证码处
支付处
密码找回处
1.登录处
2.业务办理处
3.验证码处
4.支付处
5.密码找回处
四、如何挖掘逻辑漏洞
确定业务流程--->寻找流程中可以被操控的环节--->分析可被操控环节中可能产生的逻辑问题--->尝试修改参数触发逻辑问题