目录
一、逻辑漏洞介绍
1.逻辑漏洞的原理
逻辑漏洞是指由于程序逻辑不严或逻辑太复杂,导致一些逻辑分支不能够正常处理或处理错误,从而进行攻击。一般出现任意密码修改(没有旧密码验证)、越权访问、密码找回、交易支付金额等。
2.逻辑漏洞的分类
- 越权漏洞
- 密码需改
- 密码找回
- 验证码漏洞
- 支付漏洞
- 投票/积分/抽奖
- 短信轰炸
3.常见的逻辑漏洞
交易支付、密码修改、密码找回、越权修改、越权查询、突破限制等各类逻辑漏洞。
4.挖掘逻辑漏洞
确定业务流程--->寻找流程中可以被操控的环节--->分析可被操控环节中可能产生的逻辑问题--->尝试修改参数触发逻辑问题