开发者社区> iewpzppxbbjsw> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

网络安全——一篇文章看懂逻辑漏洞

简介: 今天要分享的是一个特别常见却不容易找的漏洞——逻辑漏洞,话不多说进入正题
+关注继续查看

要开学了,事情很多,所以耽搁了两天,请大家见谅

今天要分享的是一个特别常见却不容易找的漏洞——逻辑漏洞,话不多说进入正题

目录

1.漏洞介绍

1.成因

2. 分析

2.逻辑漏洞详解

1.常见的逻辑漏洞

2.如何挖掘逻辑漏洞

3.逻辑漏洞常见思路 

 1.交易支付

2.密码修改

四:思路拓展 


1.漏洞介绍

1.成因

 逻辑漏洞是指由于程序逻辑不严或逻辑太复杂,导致一些逻辑分支不能够正常处理或处理错误,一般出现任意密码修改(没有旧密码验证)、越权访问、密码找回、交易支付金额等。

2. 分析

 对常见的漏洞进行过统计,发现其中越权操作和逻辑漏洞占比最高,很多平台中基本都有发现,包括任意查询用户信息、任意删除等行为;最严重的漏洞出现在账号安全,包括重置任意用户密码、验证码暴力破解等。

2.逻辑漏洞详解

1.常见的逻辑漏洞

交易支付、密码修改、密码找回、越权修改、越权查询、突破限制等各类逻辑漏洞。

2.如何挖掘逻辑漏洞

确定业务流程--->寻找流程中可以被操控的环节--->分析可被操控环节中可能产生的逻辑问题--->尝试修改参数触发逻辑问题        

3.逻辑漏洞常见思路 

 1.交易支付

1、加入购物车时是否可以修改购买数量为负数,商品价格是否可以修改.

2、确认购物车信息时是否可以修改商品数量为负数,是否存在折扣限制突破问题,是否可以修改商品总金额.

3、输入物流信息时是否可以控制运费,如果可以,尝试修改为负数.

4、确认订单后跳转支付接口时是否可以修改支付金额,可否不支付直接跳转到交易成功环节.

image

2.密码修改

image

四:思路拓展 

逻辑漏洞与其他漏洞相比,最大的特点就是不易发现和不易防护,人们总是按照惯性思维和网站引导进行操作,而网站的开发人员也惯性思维的认为用户都会按照他们的想法来操作,这就造成了一些很诡异的漏洞和bug

例如上面支付漏洞中购买数量为负数,这就是管理员并没有想到有人会输入负数,从而被利用,引起连锁反应,所以小伙伴们寻找逻辑漏洞时,发散自己的思维才是最重要的,感谢大家的阅读

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
网络安全——xss漏洞之最全事件函数汇总
还在为xss漏洞找不到而发愁?看看这篇最全xss攻击函数汇总在说
0 0
网络安全——命令执行漏洞(RCE)详解
我也想好好捋一下其他类型的漏洞,同时也分享出来,希望也能帮到大家,今天的内容是命令执行
0 0
网络安全——实操weblogic的ssrf漏洞
今天我们讲的还是ssrf漏洞的利用,选择的环境是weblogic的ssrf历史漏洞
0 0
网络安全-反序列化漏洞简介、攻击与防御
网络安全-反序列化漏洞简介、攻击与防御
0 0
网络安全-RCE(远程命令执行)漏洞原理、攻击与防御
网络安全-RCE(远程命令执行)漏洞原理、攻击与防御
0 0
网络安全-SSRF漏洞原理、攻击与防御
网络安全-SSRF漏洞原理、攻击与防御
0 0
文章
问答
文章排行榜
最热
最新
相关电子书
更多
拥抱零信任,构建新一代 网络安全体系
立即下载
治理企业的IT是关键如何面对网络安全问题的挑战
立即下载
网络安全与区块链
立即下载