超级会员免费看
文章探讨了业务逻辑漏洞的概念,指出由于代码不严谨或复杂性导致的问题,可能导致错误和安全风险。信息轰炸漏洞利用验证码或邮件发送的重放攻击是一个例子。提到了多种绕过限制的方法,如空格绕过、修改cookie和IP,以及利用不同账户。修复措施包括发送间隔限制和次数控制。
业务逻辑:不同的项目有不同的功能,这些功能需要不同的代码去实现,那么实现这些核心功能的代码叫做业务逻辑
业务逻辑漏洞:代码出现一些问题-----程序不严谨或逻辑太复杂------一些逻辑分支不能正常处理---错误的发生---这就说明了我还有没考虑的点:漏洞
人去思考一件事,思考方向等等比较乱,太复杂,太简单,就会导致我去做这件事的时候会显得我不能正确对待他,然后这个时候就出现了错误
大马哈:粗心 思考不周全------解题方向看错了-----我这道题就错了就扣分了-----中间解题步骤出现一个漏洞
王者荣耀:选英雄的时候思考不周全、就很单纯,就想玩------英雄的克制关系看错了-----被克制了就死了------游戏打法出现了漏洞,黑洞
利用这种漏洞不会对我的这个最终要干的这个事产生什么危害----相对合法但是不代表可以利用这个干坏事
漏洞发生点:注册页面--恶意注册短信轰炸
或者还有一种情况,不按正常流程去执行程序
业务逻辑漏洞发现方法:先将这些业务流程走一遍------从中发现哪里会出现可能的漏洞发生点-----从这些发生点中发现可以进行操作的地方----然后进行修改相应的参数
信息轰炸漏洞
利用网页上发送验证码的功能,获取其发送数据包,然后进行重放,如果服务器未进行相应的校验,那么就会被恶意重复发送验证码
或者是发送邮件,利
订阅专栏 解锁全文
扫一扫
2158
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
