二、常见的逻辑漏洞有哪些?
1.验证码漏洞
验证码漏洞就是一个验证码可以使用多次,或者根本没有验证码
可以使用多次的验证码就可以在输入正确的验证码后使用burpsuit进行爆破,分别爆破用户名和密码。 因为在大多数网站用户名不正确的时候会提示用户名输入错误 再爆破密码,在密码输入错误时也会提示密码输入错误
2.数据篡改
通过burp抓包修改ID、修改用户名、修改邮箱、商品编号、手机号等等。
3.越权漏洞(未授权访问)
越权漏洞就是应用在检查授权时存在纰漏,使得攻击者在获得低权限用户账户后,利用一些方式绕过权限检查,访问或者操作其他用户或者更高权限。越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定,一旦权限验证不充分,就易致越权漏洞。
3.1水平越权
就是普通用户与普通用户之间的越权,一个普通通过越权获得另一个普通用户的信息。
水平越权可以通过burp抓包来实现,比如说每个用户都会有独一无二的id,修改id后用户信息就会改变。
3.2垂直越权
垂直越权就是普通用户与管理员之间的越权,一个普通用户通过越权进入了管理员用户权限,可以执行增删改查等操作。
垂直越权也可以通过burp抓包来实现,比如说每个用户都会有独一无二的id,修改id后用户信息就会改变。
4.密码找回
5.验证码突破
常见类型:常见类型:验证码暴力破解、验证码重复使用、验证码绕过、验证码回显、验证码自动识别
6.支付漏洞
通过修改支付抓包修改支付金额的漏洞。