安全脑

挖掘逻辑漏洞一般方法：1. 发现网站所提供的功能模块；2. 针对具体的功能确定业务流程；3. 拦截HTTP/HTTPS请求，分析其参数的含义；4. 修改参数值，尝试出发逻辑漏洞；5. 返回第2步骤，对其他功能继续测试。越权漏洞越权漏洞可能存在的地方：增、删、改、查、详情、导出等功能点。根据不同的维度可分为：水平越权（也称平行越权）、垂直越权和交叉越权。水平越权：权限类型不变，权限ID改变（同一角色不同用户）。出现在同一个角色上，系统只验证了能访问数据的角色而没有对角色内的

漏洞介绍服务端请求伪造攻击（Server-side Request Forgery）简称SSRF，是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF攻击的目标是从外网无法访问的内部系统(正是因为它是由服务端发起的，所以它能够请求到与它相连而与外网隔离的内部系统)，当WEB应用提供了从其他服务器获取数据的功能，但没有远程服务器地址和远程服务器返回的信息进行合理的验证和过滤，就可能存在SSRF，致使可以利用发起网络请求的服务来攻击其他服务。SSRF与CSRF的区别CSRF是服