逻辑漏洞原理
其他
2020-03-21 15:26:47
阅读次数: 0
逻辑漏洞是:
- 网站开发人员再建设网站的时候,由于验证不严格,造成的bug。
|
逻辑漏洞隐患:
提权
- 查看用户订单信息
- 登录->常看个人订单信息
- 每个订单都有一个id
- Xxxxx.com/dingdan/show.php?id=11231512
- Xxxxx.com/dingdan/show.php?id=11231513
- 可以通过bp抓包修改id登录路一样的账号并且密码可以不同
|
|
|
越权
- 剋通过后台管理,用普通用户提权到管理员页面,惊醒修改普通用户信息。
|
任意金额购买
- 选择商品 -> 发起订单请求 -> 服务器确认订单 -> 生成支付接口(1000元) ->发送给前端 -> 用户支付->银行返回支付成功->订单完成。
|
- 通过bp,在支付1000元时抓包,然后通过修改金额,使用户可以修改价格购买商品。
|
案例:
|
- bp抓包,尝试修改手机号,将验证码发送到自己的手机
|
|
- 先自己注册一个用户,点击重置,
- 分析邮件中的连接
- 不加密,加密策略太弱
|
发布了48 篇原创文章 ·
获赞 145 ·
访问量 5670
转载自blog.csdn.net/cldimd/article/details/105010269