前提
之前去b站看了一些关于逻辑漏洞的介绍,然后总结一部分(本人小白一枚,正在努力学习中)
主要的常见类型
登录缺陷和账户认证缺陷
验证码回传
未进行登录凭证验证
验证码爆破
未授权访问
。。。
会话管理缺陷
![(img-Joyqa1hP-1583902832714)(C:\Users\whites\AppData\Roaming\Typora\typora-user-images\image-20200310191423573.png)]](https://i-blog.csdnimg.cn/blog_migrate/09036d0a9ce6ee763885c4afa12a9fa3.png)
固定会话攻击
修改cookie中的某个参数可以登录其他用户(cookie仿冒)
权限管理缺陷
未授权权限访问
越权:1.水平越权、2.垂直越权
水平越权:相同权限的用户可以互相访问
垂直越权:低用户可以访问到高用户
支付逻辑缺陷
API滥用
验证码爆破
短信轰炸
无限充值
用户添加等。。。
1.业务接口调用:
·重放攻击
·恶意注册
·短信炸弹