[ web漏洞篇 ] 业务逻辑漏洞详解

已于 2022-10-17 10:23:21 修改
阅读量1.7k 收藏 26
点赞数 7
分类专栏: 轮播展示专栏 渗透测试自学篇 文章标签: web安全 安全
于 2021-11-19 09:03:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51577576/article/details/121414351
版权
本文深入探讨了业务逻辑漏洞,包括登录、业务办理、验证码、支付和密码找回环节可能出现的问题,强调了这类漏洞的隐蔽性和挑战性。文章提到了自动化工具在检测逻辑漏洞上的局限性,并介绍了避免业务逻辑漏洞的关键步骤,如威胁建模和安全设计。
摘要由CSDN通过智能技术生成

 🍬博主介绍

👨‍🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~

✨主攻领域:【渗透领域】【数据通信】【通讯安全】【web安全】【面试分析】

🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限,欢迎各位大佬指点,相互学习进步!

目录

什么是业务逻辑漏洞:

业务逻辑漏洞产生的核心原因:

应用中的缺陷通常分为两种类型:

逻辑漏洞主要产生的位置

登录处存在的逻辑漏洞

1.可以暴力破解用户名或密码:

2.session没有清空:

业务办理处存在的逻辑漏洞

水平越权

篡改手机号

验证码处存在的逻辑漏洞

登录验证码未刷新

手机或邮箱验证码可爆破

手机或邮箱验证码回显到客户端

修改response包绕过判定

支付处存在的逻辑漏洞

修改商品编号

金额修改

商品数量修改

通过前端限制限购商品

充值中放弃订单未失效

密码找回处的逻辑漏洞

验证码处的逻辑漏洞在密码找回处存在一样适用

修改发送的验证的目标为攻击者的邮箱或手机

session覆盖

弱token爆破

密码找回流程绕过

避免业务逻辑漏洞

在系统生命周期里引入威胁建模可以带来如下方面的好处:

重要的安全步骤如下:

微软威胁建模的五个关键步骤如下:

随着各类前后端框架的成熟和完善,传统的SQL注入、XSS等常规漏洞在Web系统里逐步减少,而攻击者更倾向于使用业务逻辑漏洞来进行突破。

了解本专栏 订阅专栏 解锁全文 超级会员免费看
_PowerShell
关注
  • 7
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 10
    评论
专栏目录
订阅专栏
业务逻辑漏洞总结
m0_57751431的博客
08-02 2141
逻辑漏洞简介 逻辑漏洞就是指攻击者利用业务/功能上的设计缺陷,获取敏感信息或破坏业务的完整性。一般出现在密码修改、越权访问、密码找回、交易支付金额等功能处。 逻辑漏洞的破坏方式并非是向程序添加破坏内容,而是利用逻辑处理不严密或代码问题或固有不足。操作上并不影响程序运行,在逻辑上是顺利执行的。 这种漏洞一般的防护手段或设备无法阻止,因为走的都是合法流量。也没有防护标准。 逻辑漏洞分类 越权漏洞 密码修改 密码找回 验证码漏洞 支付漏洞 短信轰炸 投票/积分/抽奖 逻辑漏洞重要性 常见的OWASP
基础web漏洞 by 鲨鱼.pdf
12-30
### 基础Web漏洞概览 #### 一、网络协议五层模型解析 网络通信的基础在于理解数据如何在网络中传输。通常我们会提及OSI七层模型或TCP/IP四层模型,但此处提及的是简化版的五层模型,具体包括: - **物理层**:涉及...
业务逻辑漏洞
weixin_30693183的博客
08-09 300
转载:https://github.com/PyxYuYu/MyBlog/issues/102 业务逻辑漏洞 由于程序逻辑不严谨或逻辑太过复杂,导致一些逻辑分支不能正常处理或处理错误,统称为业务逻辑漏洞 关注重点 业务流程 HTTP/HTTPS请求分析 漏洞分类 身份认证 暴力破解 在没有验证码限制或者一次验证码可以使用多次使用...
逻辑漏洞——业务逻辑问题
Gjqhs的博客
03-03 1324
普及常见业务逻辑漏洞与测试业务逻辑漏洞方法 业务逻辑 不同的项目有不同的功能,不同的功能需要不同的实现,实现这些核心功能的代码就叫业务逻辑。 比如实现两个数求和功能,所写的如何获得任意给定的两个数的和,这个程序实现过程即可成为 业务逻辑处理。 业务是指一个实体单元向另一个实体单元提供的服务。 逻辑是指根据已有的信息推出合理的结论的规律。 业务逻辑是指一个实体单元为了向另一个实体单元提供服务,应该具备的规则与流程 业务逻辑的内容包括四个部分: 领域实体:定义了业务中的对象,对...
逻辑漏洞之越权详解-漏洞银行大咖周6-浅安
01-26
### 逻辑漏洞之越权详解 #### 一、引言 在网络安全领域,逻辑漏洞一直是一个备受关注的话题。相比传统的安全漏洞,如SQL注入、XSS跨站脚本攻击等,逻辑漏洞因其隐蔽性和复杂性而更为棘手。在众多逻辑漏洞中,...
74cms v4.2.X任意文件读取漏洞
最新发布
09-06
**74cms v4.2.X任意文件读取漏洞详解** 在网络安全领域,74cms v4.2.X任意文件读取漏洞是一个重要的安全问题,影响了74cms的多个版本,包括v4.2、v4.2.3以及v5.0.1。这个漏洞允许攻击者通过特定的手段读取服务器上...
101web漏洞挖掘之任意文件读取漏洞1
08-03
【任意文件读取漏洞详解】 任意文件读取漏洞是一种常见的Web安全问题,主要发生在PHP、Java和Python等编程语言中。这种漏洞允许攻击者通过构造特定的请求,读取服务器上的任意文件,包括敏感的配置文件、源代码、...
PTEye:幻影之眼-一种被动的业务逻辑漏洞审计工具
03-16
PTEye(编码) PTeye(幻影之眼)是一个代理黑匣子审计工具,使用NodeJS结合开源框架(整体框架根据fwon的electronic-anyproxy项目魔改制成 )完成,主要用于插件式的漏洞审计。 PTeye初步设计为使用被动代理+插件的方式重点针对相关突破进行半自动化/被动化的审计。 PTeye允许交流学习使用,请勿使用非法行为。 特征 沿用原项目的网络抓包以及数据拦截修改功能。 完成了简单的报文重置功能。 根据网络抓包可进行重新报文选择。 根据AnyProxy Rule漏洞模块拦截规则编写,Rule规则编写可以参考现有的插件,详细规则可参考 。 module.exports = { // 模块介绍 summary: 'my customized rule for AnyProxy', // 发送请求前拦截处理 *beforeSendRequest(re
极致CMS(以下简称_JIZHICMS)的一次审计-SQL注入+储存行XSS+逻辑漏洞.pdf
03-22
本文档将详细介绍极致CMS(以下简称JIZHICMS)的安全审计报告,涵盖SQL注入、储存行XSS和逻辑漏洞等多方面的安全问题。本文档将从标题和描述开始,逐步解释标签和部分内容中的知识点。 极致CMS审计报告概述 极致...
生命在于学习——业务逻辑漏洞
易水哲的博客
09-01 1424
业务逻辑漏洞
"专业Web安全漏洞检测与修复方案详解
在设计和开发阶段应考虑可能存在的逻辑漏洞,并加入相应的控制措施以预防潜在的攻击。 注入攻击类漏洞Web应用中常见的安全漏洞,包括SQL注入、XSS攻击等,针对这类漏洞,需要加强对SQL语句的过滤和编码,避免恶意...
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_PowerShell

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值