逻辑漏洞，JSON

前言

记录近期的学习成果，嗯~ o(*￣▽￣*)o算是一个阶段的总结和回顾吧，哎呀，新手就是爱记录~~~

一、逻辑漏洞

“前端一切不可信”

“多数是权限问题”

1.越权漏洞：垂直越权，水平越权。

2.支付逻辑

3.登陆越权

4.短信炸弹

5.未授权访问

靶场的话，推荐做一下玄境靶场

6.鉴权：鉴权机制详解-CSDN博客文章浏览阅读4.6w次，点赞52次，收藏310次。一、什么是鉴权鉴权（authentication）是指验证用户是否拥有访问系统的权利。传统的鉴权是通过密码来验证的。这种方式的前提是，每个获得密码的用户都已经被授权。在建立用户时，就为此用户分配一个密码，用户的密码可以由管理员指定，也可以由用户自行申请。这种方式的弱点十分明显：一旦密码被偷或用户遗失密码，情况就会十分麻烦，需要管理员对用户密码进行重新修改，而修改密码之前还要人工验证用户的合法身份..._鉴权https://blog.csdn.net/sinat_33255495/article/details/103920131

前端鉴权与后端鉴权https://juejin.cn/post/7129298214959710244https://juejin.cn/post/7129298214959710244这里要知道明文，变量，JSON串的一些知识

7.cookie：cookie是什么？有什么用？cookie详解，一篇文章彻底搞懂cookie_cookie的作用-CSDN博客文章浏览阅读10w+次，点赞442次，收藏1.9k次。本文深入解析Cookie的工作原理，如何实现网站自动登录，并通过Java示例演示了Cookie的设置、获取和使用，涵盖Cookie的生命周期、HTTP传输和实际应用场景。https://blog.csdn.net/m0_51545690/article/details/123359959

由服务器端创建并发送给客户端

可以分为两部分：一是保存状态（已登陆或未登录），二是权限（水平，垂直）

保存在客户端

8.session：

存在于服务端，根据服务端的加密算法生成的。

手工测试--黑盒测试：

1.找参数点

2.根据原理（水平（格式差不多一样），垂直（格式不一样））更改，看是否“有效”。

白盒测试（已知源代码，进行代码审计）：

如权限，开发等还在学习中。

二、JSON

JSON与JAVA:

https://zhuanlan.zhihu.com/p/668279966https://zhuanlan.zhihu.com/p/668279966

JSON数据类型与Java类型对应关系_java中什么类型对应数据json类型-CSDN博客文章浏览阅读932次，点赞20次，收藏11次。以下是。_java中什么类型对应数据json类型https://blog.csdn.net/weixin_43476824/article/details/145600990

它是一种轻量级的数据格式，不是一种编程语言。而且虽然JSON与JS具有相同的语法形式，但 JSON 并不从属于 JavaScript。很多编程语言都有针对 JSON 的解析器和序列化器。

三、一些发散的一些细枝末节或者小知识

“行话”渗透测试常用术语总结 - 11阳光 - 博客园题记 人的一生会遇到两个人，一个惊艳了时光，一个温柔了岁月。 —— 苏剧 《经年》 渗透测试常用专业术语 相信大家和我一样，搞不清这些专业名词的区别，所以我来整理一下。 1. POC、EXP、Payload与Shellcode POC：全称 ' Proof of Conchttps://www.cnblogs.com/sunny11/p/13583083.html

漏洞时间的“暗语”https://zhuanlan.zhihu.com/p/1900111093021541808https://zhuanlan.zhihu.com/p/1900111093021541808

---

总结

以上就是这一阶段网络安全方面的学习······