以体系分类,业务流程很广,所以分类也大; 第二个和第三个以功能点和功能类分别, !API调用!
撸羊毛如果利用了业务逻辑漏洞则构成
漏洞分类
业务逻辑漏洞存在的场景主要有:
用户注册场景
登录场景
支付场景
修改资料场景
信息交互场景
绑定手机场景等
权限控制
两种越权的比较:
平行越权访问漏洞,指的是权限平级的两个用户之间的越权访问。
垂直越权访问漏洞,指的是权限不等的两个用户之间的越权访问。
平行越权
什么是平行越权?
一个正常的用户a通常只能对自己的信息进行修改,但由于系统为对信息修改进行一个判断,判断当前操作是否属于对应的用户的操作,导致用户a可以操作其他人的信息。