- 博客(9)
- 收藏
- 关注
RSS订阅原创 用合法掩饰非法,这10种业务逻辑安全漏洞,穿过保护机制套利提权
这是应用程式设计和实作中常见的缺陷,允许攻击者引发意外行为。这可能使攻击者能够操纵合法功能来实现恶意目标。识别它们通常需要一定程度的人类知识,例如了解业务领域或攻击者在给定上下文中可能有什么目标。这使得使用自动漏洞扫描器很难检测到它们。因此,Business Logic Vulnerabilities(业务逻辑漏洞)通常是错误赏金猎人和手动测试人员的重要目标。
2024-04-24 19:31:24
1090
原创 5种Race Conditions条件竞争漏洞,你的网站中了哪一个? [4.单点请求]
Race conditions(条件竞速)为常见的漏洞,与业务逻辑缺陷有密切关系。当网站在没有足够保护措施的情况下同时处理请求时,就会发生这种情况。这可能会导致多个不同的执行绪同时互相影响而导致冲突,使应用程式中出现意外行为。
2024-04-14 09:57:18
619
原创 5种Race Conditions条件竞争漏洞,你的网站中了哪一个? [3.饶过多步骤流程]
Race conditions(条件竞速)为常见的漏洞,与业务逻辑缺陷有密切关系。当网站在没有足够保护措施的情况下同时处理请求时,就会发生这种情况。这可能会导致多个不同的执行绪同时互相影响而导致冲突,使应用程式中出现意外行为。
2024-04-10 23:14:55
640
原创 5种Race Conditions条件竞争漏洞,你的网站中了哪一个? [2.饶过爆力破解密码限制]
条件竞争为常见的漏洞,与业务逻辑缺陷有密切关系。当网站在没有足够保护措施的情况下同时处理请求时,就会发生这种情况。这可能会导致多个不同的执行绪同时互相影响而导致冲突,使应用程式中出现意外行为。
2024-04-08 23:07:01
376
原创 6种常见的JWT Attack,绕过网站身份验证 - 3.爆力破解对称式加密签名
JWT攻击是使用者向网站发送修改后的JWT,目标是冒充另一个身份的使用者,并绕过身份验证和存取控制。 如果攻击者能够使用任意值创建自己的JWT有效令牌,他们能够升级自己的权限或冒充其他用户,完全控制他们的帐户。
2024-04-07 10:49:34
794
原创 6种常见的JWT Attack,绕过网站身份验证 - 2.JWT无签名
JWT攻击是使用者向网站发送修改后的JWT,目标是冒充另一个身份的使用者,并绕过身份验证和存取控制。 如果攻击者能够使用任意值创建自己的JWT有效令牌,他们能够升级自己的权限或冒充其他用户,完全控制他们的帐户。
2024-04-06 17:46:28
223
原创 5种Race Conditions条件竞争漏洞,你的网站中了哪一个?[1.饶过只限一次的申请]
此为常见的漏洞,与业务逻辑缺陷有密切关系。当网站在没有足够保护措施的情况下同时处理请求时,就会发生这种情况。这可能会导致多个不同的执行绪同时互相影响而导致冲突,使应用程式中出现意外行为。
2024-04-05 23:22:44
247
原创 6种常见的JWT Attack,绕过网站身份验证 - 1.签名未验证
JWT攻击是使用者向网站发送修改后的JWT,目标是冒充另一个身份的使用者,并绕过身份验证和存取控制。 如果攻击者能够使用任意值创建自己的JWT有效令牌,他们能够升级自己的权限或冒充其他用户,完全控制他们的帐户。
2024-04-04 22:21:55
397
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人