逻辑漏洞:
代码之后是人的逻辑,人更容易犯错,所以逻辑漏洞一直都在,而且由于逻辑漏洞产生的流量多数为合法流量,一般的防护手段或设备无法阻止,也导致了逻辑漏洞成为了企业防护中的难题。
逻辑漏洞分类:
验证机制缺陷
会话管理缺陷
权限管理缺陷
业务逻辑缺陷
登录缺陷
支付逻辑缺陷
API乱用
验证机制
身份标识:whoknows、who has、who is
最常见的方式是信息系统要求用户提交用户名与密码。
权限控制:
从控制力度看,可以将权限管理分为两大类:
功能级权限管理
数据级权限管理
从控制方向看,也可以将权限管理分为两大类:
从系统获取数据比如查询
向系统提交数据比如删除修改
业务逻辑:
每个业务系统都具有不用的业务逻辑,而业务逻辑在人,充分了解程序员思维有助于找到其中的问题所在。
暴力破解
可利用多余的提示信息(登录失败存在的一些特殊提示信息)和可预测信息(类似user100、user101的用户名、手机号等信息或者初始密码)
弱口令攻击
无效的防重放措施:
比如防止CSRF的token。可以利用Burp Suit Macros(宏)绕过。
无效的登录失败功能处理:
图片验证码绕过:验证码不生效、不更新、不失效,验证码可预测、删除、获取,验证