浅谈——业务逻辑漏洞_什么是业务逻辑漏洞,2024年最新程序员必学之一

最新推荐文章于 2024-08-02 16:04:52 发布
最新推荐文章于 2024-08-02 16:04:52 发布
阅读量970 收藏 21
点赞数 21
分类专栏: 2024年程序员学习 文章标签: 网络 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83947255/article/details/138011443
版权

先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7

深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年最新网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新

如果你需要这些资料,可以添加V获取:vip204888 (备注网络安全)
img

正文

  • 未授权访问:

通过删除请求中的认证信息后重放该请求,依旧可以访问或者完成操作

防御方式

  1. 前后端同时对用户输入信息进行校验,严双重验证机制
  2. 调用功能前验证用户是否有权限调用相关功能
  3. 执行关键操作前必须验证用户身份,验证用户是否具备操作数据的权限
  4. 直接对象引用的加密资源ID,防止攻击者枚举ID,敏感数据特殊化处理
  5. 永远不要相信来自用户的输入,对于可控参数进行严格的检查与过滤

支付漏洞

详细内容,参见挖洞技巧:支付漏洞之总结,写的很详细
常见漏洞点:

  • 修改支付价格
  • 修改支付状态
  • 修改购买数量
  • 修改附属值
  • 修改支付接口
  • 多重替换支付
  • 重复支付
  • 最小额支付
  • 值为最大值支付问题
  • 越权支付
  • 无限制试用
  • 修改优惠价

靶机案例

修改支付金额

漏洞出现的原因是程序没有验证用户输入的金额,或者商品数量

以BurpSuite的在线实验室为例:Excessive trust in client-side controls
0:使用在线实验室提供的账号登录页面:wiener:peter
1:打开页面发现自己有100美元,随意选择一个
在这里插入图片描述

2:开启抓包,点击“Add to cart”,并把包发送到重放模块,停止抓包
在这里插入图片描述

3:此时的购物车
在这里插入图片描述

4:接下来就是设定价格,可以设为低于原价,甚至负数,亦或者修改商品数量,看哪种方法可行。
方案1:修改价格为负值,跟踪跳转之后,刷新购物车,购物车空了,钱包金额没变化,说明失败。
在这里插入图片描述

方案2:降低商品价格(设为0的话,失败同上),我这里设为20.
在这里插入图片描述

发现购物车金额有戏,提交订单
在这里插入图片描述

OK,闯关成功
在这里插入图片描述

密码找回绕过

内容描述:修改某网站自己的密码,进而控制该网站其他用户的账号思路:注册网站的账号,然后修改密码,在提交密码的页面修改对应的用户名。靶机:win2k8+phpstudy+metinfo攻击机:Burpsuite
参见我之前的文章:业务逻辑漏洞——密码找回绕过

越权

水平越权
计划以lucy的身份水平越权lili
1:lucy登陆系统
在这里插入图片描述

2:把lucy修改为lili在这里插入图片描述
3:查看成功在这里插入图片描述

垂直越权
根据提示,猜测应该是pikacu越权admin。在这里插入图片描述

1:pikachu登陆,发现自己只有查看权限在这里插入图片描述

2:管理员登陆,有添加用户权限在这里插入图片描述

3:admin添加新用户,BurpSuite抓包,发送到重放模块,然后停止截包在这里插入图片描述

admin添加了一个新用户haha
在这里插入图片描述

4:admin退出登陆,pikachu登陆系统,目的是为了获取pikachu的cookie,保持截断数据包在这里插入图片描述

5:来到重放模块
(1)把cookie换成pikachu的
(2)修改一下新建用户的信息在这里插入图片描述

6:代理模块停止截包
7:pikachu登陆成功,会看到自己添加的用户alice在这里插入图片描述

防御方式

  • 对数据进行加密
  • 确保开发人员和测试人员足够了解产品
  • 提高开发人员的安全意识
  • 限制访问IP的访问频率
  • 限制验证码的有效时间

参考

Business logic vulnerabilities
[红日安全]Web安全Day6 - 业务逻辑漏洞实战攻防
攻防演练中的业务逻辑漏洞及检测思路

还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!

王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。

对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!

【完整版领取方式在文末!!】

93道网络安全面试题

内容实在太多,不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

😝朋友们如果有需要的话,可以联系领取~

1️⃣零基础入门
① 学习路线

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

image

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供:

image-20231025112050764

2️⃣视频配套工具&国内外网安书籍、文档
① 工具

② 视频

image1

③ 书籍

image2

资源较为敏感,未展示全面,需要的最下面获取

在这里插入图片描述在这里插入图片描述

② 简历模板

在这里插入图片描述

因篇幅有限,资料较为敏感仅展示部分资料,添加上方即可获取👆

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)
img

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

添加上方即可获取👆**

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)
[外链图片转存中…(img-HY8OXqds-1713618079459)]

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_83947255
关注
专栏目录
100天精通Python丨基础知识篇 —— 06、一千个程序员有一千套编码规范
独木不成林,单弦不成音。
07-02 16万+
一千个读者有一千个哈姆莱特。 -- 莎士比亚 一千个程序员有一千套编码规范。 -- 不吃西红柿
程序员修炼之道:务以己任,实则明心——通向务实的最高境界
AI天才研究院
07-28 5万+
编程永远是一件具有哲学艺术的事情,而在当代充斥着各种大框图、华丽的架构背景下,恰好更需要我们以务实的态度去设计架构,无论你是独立的开发者,还是项目中的一员,如果你始终秉持着做好每一件事的使命感与认同感,如果你想让自己的开发之路实现认知阶级的跃迁,那么本文是你不可错过的命中注定,以务实出发,成就一颗研发之匠心。摄影图:泰山日出。“五岳之首”、“天下第一山”。孔子登泰山而小天......
业务安全业务逻辑漏洞
Chenamao的博客
08-06 2136
目录 业务安全业务逻辑漏洞 业务安全概述; 业务安全测试流程: 业务数据安全 商品支付金额篡改 前端JS限制绕过验证 请求重放测试 业务上线测试 *商品订购数量篡改 密码找回安全 注入 业务逻辑 信息泄露 业务安全概述; 简单讲,随着社会发展,越来越多的行业都开始发展互联网业务,利用信息通信性技术以及互联网平台进行商务互动(金钱交易)。如:银行、保险、证券电商、P2P、O2O、游戏、社交、招聘、航空等。涉及金钱、个人信息、交易、等重要隐私数据,成为黑客攻击的目标。 (业务
业务安全漏洞总结
内心不种满鲜花就会长满杂草
11-26 6925
登录认证模块 暴力破解 暴力破解测试是指针对应用系统用户登录账号与密码进行的穷举测试,针对账号或密 码进行逐一比较,直到找出正确的账号与密码
业务逻辑漏洞
最新发布
l_OMl_l的博客
08-02 452
2.回到原网页登录自己的账号,抓包,复制cookie中的数据,粘贴到管理员创建用户的数据包,由于环境问题二者的 cookie 一样,正常情况 cookie 是不同的。1.寻找漏洞网站,注册,获取验证码并抓包,发送攻击模块,选择 Null payloads ,选择攻击次数。1.找到有漏洞的网页,搭建与其相同的网站,抓管理员用户创建用户时的数据包,发送重放器。1.找到漏洞网页后,注册用户并登录,查看个人信息,抓包,发送重放器。2.将 thisnum 改为负数,放包后可以发现金额变为负数,支付。
业务逻辑漏洞总结
qq_48904485的博客
03-22 7348
一、漏洞简介 业务逻辑漏洞产生的最核心原因,就是在编写程序时,只考虑了常规的操作流程,即“当在A情况下,就会出现B,此时执行C即可”,但是开发者却没有考虑当用户执行了意料之外的X时会发生什么。这种对于异常情况的欠考虑,最终导致了安全漏洞的产生。 应用中的缺陷通常分为两种类型: 在不同的应用中有相同的特征 与应用程序/业务领域严格相关 其中第一种类型的缺陷,就是类似SQL注入、XSS之类的常规漏洞。这一类漏洞的产生,主要是因为应用程序依赖用户的输入来执行某些重要的功能,但是在用户输入了一些非法字符时,应用
生命在于学习——业务逻辑漏洞
易水哲的博客
09-01 1461
业务逻辑漏洞
业务安全漏洞挖掘要点
任何事都始于当初的选择
05-09 3507
业务安全漏洞挖掘要点1 身份认证安全 暴力破解   用暴力穷举的方式大量尝试性地猜破密码。 一般包括字典攻击和暴力穷举。  示例   360云盘分享码可以被暴力破解 http://www.wooyun.org/bugs/wooyun-2015-0121646   淘米网登陆不需验证码导致暴力破解 http://www.wooyun.org/bugs/wooyun-2015-0145757  防御方法
【愚公系列】202403月 《CTF实战:从入门到提升》 010-Web安全入门(PHP代码执行漏洞
时光隧道
03-28 5万+
PHP代码执行漏洞是一种常见的安全漏洞,也被称为远程代码执行(Remote Code Execution,RCE)漏洞。这种漏洞的发生通常是由于程序员在编写代码时未正确过滤用户输入,导致用户能够将恶意代码插入到应用程序中,然后被解释器执行。攻击者可以利用这种漏洞执行任意代码,从而获取系统权限、窃取数据或者对系统进行进一步的攻击。未过滤用户输入:开发者在使用用户输入时必须进行严格的输入验证和过滤,避免直接将用户输入作为代码执行。eval() 和 exec() 函数。
程序员垃圾简历长什么样?
热门推荐
启舰
03-30 30万+
已经连续五参加大厂校招、社招的技术面试工作,简历看的不下于万份 这篇文章会用实例告诉你,什么是差的程序员简历! 疫情快要结束了,各个公司也都开始春招了,作为即将红遍大江南北的新晋UP主,那当然要为小伙伴们做点事(手动狗头)。 就在公众号里公开征简历,义务帮大家看,并一一点评。《启舰:春招在即,义务帮大家看看简历吧》 一石激起千层浪,三天收到两百多封简历。 花光了两个星期的所有空闲时...
程序员表白程序 源码开放性 第一辑 不断更新(程序之爱系列第一辑)
01-16
程序员表白程序 源码开放性 第一辑 不断更新(程序之爱系列第一辑)】 这个项目是一个程序员为了表达爱意而创作的独特程序,它不仅展现了编程技术的运用,还融合了情感的传递。程序员们常常以其独特的思维方式和...
[ web漏洞篇 ] 业务逻辑漏洞详解
qq_51577576的博客
11-19 1809
目录 什么是业务逻辑漏洞业务逻辑漏洞产生的核心原因: 应用中的缺陷通常分为两种类型: 逻辑漏洞主要产生的位置 登录处存在的逻辑漏洞 1.可以暴力破解用户名或密码: 2.session没有清空: 业务办理处存在的逻辑漏洞 水平越权 篡改手机号 验证码处存在的逻辑漏洞 登录验证码未刷新 手机或邮箱验证码可爆破 手机或邮箱验证码回显到客户端 修改response包绕过判定 支付处存在的逻辑漏洞 修改商品编号 金额修改 商品数量修改 通过前端限制限购商品 充值中放弃订单
业务逻辑漏洞有哪些?漏洞攻击防御及代码示例
2201_75362610的博客
03-21 940
定义:与编程错误或配置错误不同,业务逻辑漏洞通常源于软件的正常流程或功能的不当实现。
常见场景的业务逻辑漏洞以及安全设计
2401_84466223的博客
06-16 690
本篇文章介绍了一些常见的业务漏洞,当我们遇到这些场景时,要注意上面的这些问题。常规漏洞越来越不好挖掘的情况下,我们可以多去看看业务方面的漏洞
记一次企业逻辑业务漏洞挖掘
qq_44040833的博客
02-09 504
这是一个短信轰炸漏洞,属于业务逻辑范围的漏洞, 在浏览这个网站页面时候没有想到企业站会存在过可以直接绕WAF或者爆后台,在看到这个业务网站有一个验证码发送的时候就想到以前看到过类似的业务漏洞,于是便上手去尝试。在查看了这家企业的相关信息之后就直接翻转到了站点去浏览。 发现存在WAF狗,当我手工直接输入select之后就被拉黑ip了..........,换个ip继续搞 然后在检索功能...
常见的业务逻辑漏洞-整合篇
weixin_48421613的博客
10-28 1万+
笔者前言: 作为一个地地道道的安服仔,每日的工作就是渗透测试,在测试的过程中累积了很多的经验,看到了各种各样奇葩的漏洞,于是乎便有了这样的一篇文章。以下文章均由本人测试发现并打码,侵删 什么是业务逻辑漏洞 业务逻辑漏洞就是指攻击者利用业务/功能上的设计缺陷,获取敏感信息或破坏业务的完整性。一般出现在密码修改、越权访问、密码找回、交易支付金额等功能处。 逻辑漏洞的破坏方式并非是向程序添加破坏内容,而是利用逻辑处理不严密或代码问题或固有不足,进行漏洞利用的一个方式。 既然提到了完整性,相信大家在漏洞挖掘的时候经
业务逻辑漏洞个人经验集锦【不定时更新~】
weixin_30745553的博客
05-08 196
一、保险类业务:   1、如:某公司推出某短期旅游险,有效期只有1天,前端一般改不了时间(改的了那是功能bug了),所以需要抓包绕过js限制。      测试点1:生效日期能否改为当前时间之前。(假设你买的是车祸险,昨天出了车祸,今天买保险,把时间改成前天或昨天,那不就保险生效了……)   测试点2:结束时间能否延长,即大于1天。   2、某保险投保时的保额(不...
网络安全进阶学习第十六课——业务逻辑漏洞介绍
p36273的博客
09-15 1374
– 实际上,我们口口声声的业务逻辑,是只用代码实现的真实业务的规则映射。注意“规则”这个词,简单说,一个业务中,存在什么逻辑,可以通过在纸上画出不同业务对象之间的联系和约束,并将这些联系和约束一条条列出来,形成一个列表,而这列表中的每一条,就是一条规则,这些规则的总和,就是这个业务业务逻辑,而且是全部业务逻辑,你不能再多列出一条了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值