逻辑漏洞原理

最新推荐文章于 2023-09-17 21:20:46 发布
最新推荐文章于 2023-09-17 21:20:46 发布
阅读量1.1k 收藏
点赞数 6
分类专栏: 漏洞 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cldimd/article/details/105010269
版权

逻辑漏洞是:

  • 网站开发人员再建设网站的时候,由于验证不严格,造成的bug。

逻辑漏洞隐患:

  • 1、任意用户重置密码
  • 2、提权/越权
  • 3、任意金额购买
  • 4、验证码绕过

提权

  • 查看用户订单信息
  • 登录->常看个人订单信息
  • 每个订单都有一个id
  • Xxxxx.com/dingdan/show.php?id=11231512
  • Xxxxx.com/dingdan/show.php?id=11231513
  • 可以通过bp抓包修改id登录路一样的账号并且密码可以不同
  • 查看用户个人信息
  • 任意账号登录

越权

  • 剋通过后台管理,用普通用户提权到管理员页面,惊醒修改普通用户信息。

任意金额购买

  • 选择商品   -> 发起订单请求 -> 服务器确认订单 ->   生成支付接口(1000元) ->发送给前端  -> 用户支付->银行返回支付成功->订单完成。
  • 通过bp,在支付1000元时抓包,然后通过修改金额,使用户可以修改价格购买商品。

案例:

  • 手机号:
  • bp抓包,尝试修改手机号,将验证码发送到自己的手机
  • 邮件:
  • 先自己注册一个用户,点击重置,
  • 分析邮件中的连接
  • 不加密,加密策略太弱
IT—INTEREST_挪吒
关注
专栏目录
centos consul rpm
09-10
consul-1.2.2-1.el7.centos.x86_64.rpm是方便在centos linux 下直接安装consul服务注册中心服务的rpm软件包,安装之后直接通过IP:8500可访问
详解consul安装和配置
09-30
在具体使用 Consul 进行安装配置时,比如在 CentOS 6.5 x64 系统环境下,你可以从官方下载最新版本的 consul,如 consul_0.6.4_linux_amd64.zip。解压缩后,你会得到一个 consul 可执行文件。运行 consul 命令可以...
CentOS7.4+HDP+Ambari+consul+Elasticsearch安装部署文档.rar
07-12
CentOS7.4+HDP+Ambari+consul+Elasticsearch 安装部署文档
linux/CentOS查看系统编码/语言和修改系统编码/语言的方法
热门推荐
【小石头的茅坑】
12-27 52万+
1、查看字符编码和语言 使用locale命令,语言是en_US(美式英语),编码是UTF-8 2、修改字符编码和语言 修改/etc/sysconfig/i18n 先看一下修改前的 然后,如改成中文编码: LANG=en_US.UTF-8 改为 LANG="zh_CN.GBK" 然后在不重启的情况下重新加载i18n文件 #source /etc/sysconfig/i...
linux(centos)查看目录占用空间大小
【小石头的茅坑】
05-05 50万+
linux(centos)查看目录占用空间大小
CentOS7下普通账号通过systemctl管理服务需要输入root密码 AUTHENTICATING FOR org.freedesktop.systemd1.manage-units ===
【小石头的茅坑】
03-12 47万+
使用root用户登录,按照下文修改配置文件,将三个参数改为yes https://blog.csdn.net/wjy1990831/article/details/87256382
CentOS(RedHat红帽系统) 开启/关闭服务,启用、禁用开机自启动,systemctl 工具使用
【小石头的茅坑】
04-29 47万+
systemctl是CentOS7的服务管理工具中主要的工具,它融合之前service和chkconfig的功能于一体。 以firewalld.service为例 启动一个服务:systemctl start firewalld.service 关闭一个服务:systemctl stop firewalld.service 重启一个服务:systemctl restart firewal...
keepalived实现主备服务器冗余双活+负载均衡
【小石头的茅坑】
05-06 47万+
keepalived是一个类似于layer3, 4 & 5交换机制的软件,也就是我们平时说的第3层、第4层和第5层交换。Keepalived是自动完成,不需人工干涉。 使用keepalived主要两个功能: 1、keepalived实现主备机冗余功能 如果用nignx做负载均衡服务器,万一负载均衡服务器宕机了,也就挂了。 而keepalived通过VIP完美解决了这个问题,keep...
SecureCRT 和 SecureFX 中文乱码问题解决,配置cd初始化目录 。配置ANSI颜色批量修改。
【小石头的茅坑】
03-21 47万+
1、找到session文件 SecureCRT\SecureCRTSecureFX_HH_x64_7.0.0.326\Data\Settings\Config\Sessions 2、改为"Filenames Always Use UTF8"=00000001 3、改为UTF-8
linux修改locale字符集编码为UTF-8/GBK,修改语言区域为zh-CN(中文-中国)
【小石头的茅坑】
06-10 47万+
linux修改locale字符集编码为UTF-8/GBK,修改语言区域为zh-CN(中文-中国)
linux安装telnet命令
【小石头的茅坑】
12-19 47万+
1、先检查CentOS7.0是否已经安装以下两个安装包:telnet-server、xinetd。命令如下: rpm -qa telnet-server rpm -qa xinetd     如果没有安装,则先安装安装命令: 2安装telnet yum list |grep telnet yum install telnet-server.x86_64 yum ins...
linux禁用CPU 禁用cpu内核
【小石头的茅坑】
06-14 47万+
我的是2C8核(每个CPU4个核) /sys/devices/system/cpu 如图,一共8个(0~7) 禁用第二个(第一个cpu的第二个核)CPU核 echo 1 > /sys/devices/system/cpu/cpu1/online 启用第二个(第一个cpu的第二个核)CPU核 echo 1 > /sys/devices/system/cpu/cp...
linux配置java环境变量,centOS redhat
【小石头的茅坑】
12-19 47万+
# add by maokengdeshitou 2018-12-19 export JAVA_HOME=/usr/local/jdk/jdk1.8.0_191 export PATH=$JAVA_HOME/bin:$PATH # add by maokengdeshitou 2018-12-19
linux查看、设置环境变量。临时变量、永久变量(用户变量、系统变量)
【小石头的茅坑】
05-20 47万+
linux查看、设置环境变量。临时变量、永久变量(用户变量、系统变量)
在Linux/window系统查询公网外网IP的几种办法
【小石头的茅坑】
02-16 47万+
几种在Linux/window下查询外网公网IP的办法
Linux清理内存buff/cache,手工释放内存空间
【小石头的茅坑】
06-18 47万+
Linux下内存buff/cache占用过多问题解决 https://blog.csdn.net/vtopqx/article/details/80774669 手工释放linux内存——/proc/sys/vm/drop_cache https://blog.csdn.net/wyzxg/article/details/7279986/ ...
通过lsyncd 设置两个linux(centOS7)服务器之间的目录文件互相实时同步
【小石头的茅坑】
05-06 47万+
官网开源地址 https://github.com/axkibe/lsyncd 官网配置手册 https://axkibe.github.io/lsyncd/ 注意:Lsyncd存在数据被替换风险,操作前请做好数据备份! Lsyncd 是一个简单高效的文件同步工具,通过lua语言封装了 inotify 和 rsync 工具,采用了 Linux 内核(2.6.13 及以后)里的 inoti...
yum命令详解。yum install安装卸载,yum配置仓库
【小石头的茅坑】
09-17 47万+
Yum(全称为 Yellow dogUpdater, Modified)是一个在Fedora和RedHat以及CentOS中的Shell前端软件包管理器。基于RPM包管理,能够从指定的服务器自动下载RPM包并且安装,可以自动处理依赖性关系,并且一次安装所有依赖的软件包,无须繁琐地一次次下载、安装。yum提供了查找、安装、删除某一个、一组甚至全部软件包的命令,而且命令简洁而又好记。
centos利用docker安装consul
最新发布
09-19
可以使用docker run命令在CentOS安装consul。首先,下载并运行consul镜像,命令如下: ``` docker run -d --name consul consul:1.4.2 ``` 接下来,你可以通过运行其他的consul节点来建立一个consul集群。例如,你可以运行以下命令来创建最后一个consul节点: ``` docker run -d --name consul-03 -e CONSUL_BIND_INTERFACE=eth0 docker.io/consul:latest agent -server -join 172.17.0.1 ``` 这样,你就成功地在CentOS上使用docker安装consul
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值