业务逻辑漏洞

夏天测18 天前
渗透测试·状态模式·业务逻辑漏洞·web 安全·响应包篡改
业务逻辑漏洞实战:篡改响应包绕过登录,直入后台管理系统当下多数企业 OA、教务系统、后台管理平台均采用前后端分离架构。部分开发者存在安全认知误区,将登录状态判断、权限校验等核心安全逻辑交由前端实现。攻击者可利用中间人抓包工具拦截服务器返回的登录响应包,修改状态标识实现登录绕过。该漏洞无需复杂漏洞利用技巧,却能造成严重的安全后果,也是 SRC 众测、企业内部安全巡检中重点排查的漏洞类型。
夏天测1 个月前
漏洞复现·网络安全入门·业务逻辑漏洞·web 安全·src 挖洞
Web 安全入门|业务逻辑绕过漏洞原理、挖掘思路及 SRC 实战报告编写在 Web 安全学习和 SRC 漏洞挖掘过程中,很多入门开发者、网安爱好者都有一个通病:过度聚焦 SQL 注入、XSS 跨站、文件上传这类特征明显的显性漏洞,花费大量时间研究各类 Payload 和爆破工具,却严重忽视了业务逻辑漏洞。
emma羊羊8 个月前
mysql·网络安全·靶场·业务逻辑漏洞
【业务逻辑漏洞】认证漏洞短信功能存在短信轰炸漏洞,其原理在于缺乏有效的频率限制机制或现有限制可被绕过,导致攻击者能够无限次发送短信。测试时可频繁请求发送验证码(间隔小于60秒)、修改手机号参数重放请求,或使用Burp Intruder进行批量发送测试;修复方案需设定同一手机号60秒内仅能发送1次,且每日上限不超过10次。
南暮思鸢2 年前
经验分享·笔记·web安全·网络安全·burpsuite·业务逻辑漏洞·墨者学院靶场
业务逻辑漏洞之墨者学院靶场——身份认证失效点击链接进去之后的页面如下:让我们获取马春生的个人信息查看页面源代码:可以看到一堆以数字命名的图片,应该是一些重要信息,可以看到马春生对应的图片是20128880316.jpg
Yf3_te2 年前
安全·web安全·业务逻辑漏洞
业务逻辑漏洞目录1.网络黑产事件与法律2.逻辑漏洞挖掘必备技能3.用户遍历漏洞4.恶意注册5.未授权访问漏洞6.cookie和session伪造
我是有底线的