一、什么是逻辑漏洞
逻辑漏洞:又称业务逻辑漏洞,是指由于程序逻辑不严谨或者 逻辑太复杂,导致一些逻辑分支不能正常处理或 者处理错误。
通俗的讲,一个系统功能太多后,程序开发人员难以顾及到方方面面,对于某些地方的处理可能有遗漏, 从而导致逻辑漏洞。
逻辑漏洞的出现:通常出现在任意密码修改(没有旧密码验证)、越权访问、密码找回、交易支付金额等。
二、逻辑漏洞的特点
普遍存在性: 由于功能的实现需要大量的逻辑操作,同时受制于程序员的背景,这类缺陷普遍存在于各类应用程序中。
不固定型: 或者称作“十分有针对性”,因为每一种逻辑缺陷似乎都是唯一的,它是基于逻辑操作,不同的功能逻辑不同,因此无法用一般的工具发现他们。
隐蔽性: 大多数的逻辑漏洞都十分隐蔽,它存在于 操作关系 当中,甚至是属于应用程序正常的功能。
三、常见的逻辑漏洞类型
交易支付、密码修改、密码找回、越权修改、越权查询、突破限制等。