逻辑漏洞挖掘经验分享(一)

简介: 逻辑漏洞挖掘经验分享(一)

本文转载:https://xiaochuhe.blog.csdn.net/article/details/122530614
一、逻辑漏洞概述

逻辑漏洞挖掘一直是安全测试中“经久不衰”的话题。相比SQL注入、XSS漏洞等传统安全漏洞,现在的攻击者更倾向于利用业务逻辑层的应用安全问题,这类问题往往危害巨大,可能造成了企业的资产损失和名誉受损,并且传统的安全防御设备和措施收效甚微。其核心思维是:绕过真实用户身份或正常业务流程达到预期的目的。

利用工具:数据包抓取工具(Burpsuit、fiddler等)

用户身份——认证

用户身份特性认证
本地认证
服务器端认证

业务流程:对业务的熟悉程度(各种类型的网站、业务模式)
二、逻辑漏洞类型
1.支付漏洞
2.密码找回漏洞
3.任意用户登录漏洞
4.认证缺陷(弱认证、认证凭证获取)
5.接口枚举
6.越权(有条件的越权:空值绕过)
。。。。。。。
三、支付漏洞
(一)挖掘流程

(二)突破口

一、订单相关
1.选择商品时修改商品价格;
2.选择商品时将商品数量设为负数;
3.商品剩余1时,多人同时购买,是否产生冲突;
4.商品为0时是否还能购买;
5.生成订单时修改订单金额;
二、结算相关
1.优惠打折活动多次重复使用;
2.拦截数据包,修改订单金额;
3.拦截数据包,修改支付方式;
4.伪造虚假订单,刷单;
三、支付相关
1.拦截数据包,伪造第三方确认信息;
2.保存用户付款信息被窃取;
四、退货相关
1、绕过商家确认直接退货;
2、绕过商品类型直接退货;(退货是否允许)
五、收货相关
1、绕过客户确认直接收货;

四、密码重置漏洞
(一)用户密码找回方式:
手机验证码、邮箱、密保问题、自动生成新密码、密码找回链接发送
(二)密码重置突破口:
认证凭证暴力破解
认证凭证回显
认证凭证重复使用
重新绑定
用户身份特性认证
服务器端认证
本地认证
密码找回流程绕过
。。。。。。。
五、任意用户登录
空密码绕过
身份替换
认证凭证篡改
六、 认证缺陷漏洞
弱验证
空验证
认证凭证有效性&唯一性
七、越权漏洞
普通越权
未授权访问(登录凭证验证)
绕过授权模式(参数构造等)
八、接口枚举漏洞
业务接口因为没有做验证或者验证机制缺陷,容易遭到枚举攻击
比如:撞库订单、优惠券等遍历
绕过真而实用户身份或正常业务流程达到预期的目的绕过真实用户身份或正常业务流程达到预期的目的绕过真实用户身份或正常业务流程达到预期的目的绕过真实用户身份或正常业务流程达到预期的目的绕过真实用户身份或正常业务流程达到预期的目的绕过真实用户身份或正常业务流程达到预期的目的

相关文章
|
4月前
信不信?工作这么多年,还有很多网工不知道光模块光衰的正常范围?
信不信?工作这么多年,还有很多网工不知道光模块光衰的正常范围?
447 2
|
SQL 安全 前端开发
Web安全性测试包括哪些要点?梳理下,总算搞明白了
Web安全性测试包括哪些要点?梳理下,总算搞明白了
443 0
Web安全性测试包括哪些要点?梳理下,总算搞明白了
|
SQL 安全 Java
硬核,腾讯内部整理的面向开发人员代码安全指南,适合所有程序员
硬核,腾讯内部整理的面向开发人员代码安全指南,适合所有程序员
126 0
|
安全 区块链
ARBT阿尔比特智能合约系统开发方案设计/详细案例/规则介绍/源码程序
The basic principle of the ARBT pledge mining system is that users lock a certain number of ARBT tokens in the system for pledge and receive corresponding mining rewards. During the pledge process, the user's ARBT token will be frozen, making it unable to freely trade and transfer to ensure the stab
|
设计模式 缓存 Java
好家伙!阿里新产Java性能优化(终极版),涵盖性能优化所有操作
上月公司来了一位大佬,入职不到一周就把公司现有项目的性能优化了一遍,直接给公司节省了一半的成本。 一问情况,才知道这位仁兄也是一路被虐过来的。去年年底被裁,本以为自己技术还行,看了一段时间面经,复习了基础知识,就开始投大厂简历。阿里最先给他面试机会,结果没能扛过三面,然后是各种大大小小的公司,在实际面试中被碾压得翻不了身。整整一个半月,一个offer都没拿到,最后针对性的恶补,才入职了我司。
|
前端开发 测试技术 程序员
程序员成长第八篇:做好测试工作
程序员成长第八篇:做好测试工作
221 0
|
安全
|
SQL 存储 Java
不讲废话,全程硬核,处理结构化数据的终极解决方案
现代Java应用架构越来越强调数据存储和处理分离,以获得更好的可维护性、可扩展性以及可移植性,比如火热的微服务就是一种典型。这种架构通常要求业务逻辑要在Java程序中实现,而不是像传统应用架构中放在数据库中。
129 0
|
项目管理
带你读《软件项目管理案例教程(第4版)》之二:项目确立
本书以案例形式讲述软件项目管理过程,借助路线图讲述项目管理的理论、方法及技巧,覆盖项目管理十大知识域的相关内容,重点介绍软件这个特殊领域的项目管理。本书综合了多个学科领域,包括范围计划、成本计划、进度计划、质量计划、配置管理计划、风险计划、团队计划、干系人计划、沟通计划、合同计划等的制定,以及项目实施过程中如何对项目计划进行跟踪控制。该书取材新颖,注重理论与实际的结合,通过案例分析帮助读者消化和理解所学内容,既适合作为高等院校计算机、软件及相关专业高年级本科生和研究生的教材,也适合作为广大软件技术人员和项目经理培训的教材,还可作为软件开发项目管理人员的参考书。
想要搭建陪玩平台,这几点不容忽视
随着互联网经济的持续稳定发展,游戏市场的“封印”逐渐被打开,搭建陪玩平台成为一个新的热点。提起陪玩系统相信大家也不陌生,漫漫单排路如果有一个大神能带自己躺赢那是再好不过了,于是陪玩系统运营而生。想要搭建陪玩平台,应该注意哪些问题呢?