day1-业务逻辑漏洞

已于 2024-07-18 09:03:08 修改
阅读量309 收藏 7
点赞数 5
文章标签: 安全 网络 web安全
于 2024-07-17 20:24:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sins_ofdream/article/details/140504649
版权

业务逻辑漏洞

1.漏洞介绍

  1. 业务逻辑漏洞基本介绍
    所有Web应用程序都是通过代码逻辑实现各种功能。即使一个简单的Web应用程序,都可能包含着数目庞大的逻辑操作。这些逻辑就是一个复杂的攻击面,但是它却常常被忽略。许多自动化的扫描工具或者代码审计工具,都只能扫出类似SQL注入、XSS等常规的漏洞,因为它们相比于业务逻辑漏洞而言具有更加显著的攻击特征。
    业务逻辑漏洞产生的最核心原因,就是在编写程序时,只考虑了常规的操作流程,即“当在A情况下,就会出现B,此时执行C即可”,但是开发者却没有考虑当用户执行了意料之外的X时会发生什么。这种对于异常情况的欠考虑,最终导致了安全漏洞的产生。
  2. 水平越权漏洞
    即用户A和用户B属于同一个权限组,水平越权就是用户A可以看到用户B才可以看到的一些内容。一个简单的例子,就是保单管理系统中,每个人都只可以看到自己的保单,如果出现用户A可以查看到用户B的保单的现象,此时就发生了水平越权。
  3. 常见水平越权漏洞场景
    1)在访问请求中包含了用户ID或其他可以唯一标识用户身份且可猜测的参数(如userid、用户名、邮箱、手机号、身份证或其他证件号等),且仅根据该参数决定可以访问的数据。
    2)在访问请求中包含了可猜测的资源对象ID如(订单号、服务号、受理号、记录号等,可猜测指ID的变化部分为10位以内字符组成或可以通过其他易于获取信息推理得到。),且仅根据该参数决定可以访问的数据。
    3)在访问请求中包含了可猜测的文件名(可猜测指ID的变化部分为10位以内字符组成或可以通过其他易于获取信息推理得到),且仅根据该参数决定可以访问的数据。
  4. 垂直越权漏洞
    即用户A和用户B属于不同的权限组,如用户A属于普通用户权限组,而用户B属于管理员权限组,垂直越权就是用户A可以看到用户B才可以看到的内容。一个简单的例子,用户A可以看到通讯录界面,用户B可以看到通讯录和用户管理的界面(其中用户管理界面可以看到用户密码)。如果用户A修改一下请求的URL即可以看到作为管理员才可已看到的全部用户密码,此时就发生了垂直越权。
  5. 常见垂直越权漏洞场景
    1)用户在未登录的情况下可以访问某些需要登录才能访问的功能模块,包括WEB页面和API接口。
    2)一个低权限用户可以访问高权限用户才能访问的功能模块,包括WEB页面和API接口。

2.pikachu靶场练习

新手的话参考其他blog利用phpstudy和pikachu靶场
image

3.实际项目练习

!!!未授权的访问不能做,会违法的!!!
image

4.实际项目中遇到的注意事项

1)小程序抓包问题
虽然最后是解决了,但是不确定是什么方法解决的。
首先是通过win+R,输入inetcpl.cpl,打开了Internet选项卡,找到其中的连接部分,再找到其中的局域网选项,打开代理。然后另外一种就是直接搜索代理设置。注意,up主后面还给edge浏览器导入了一次burp的证书,也不确定有没有效果。反正做完上述之后,再重新打开了微信小程序,确实可以抓到微信小程序的请求包了。
poemthesky
关注
[红日安全]Web安全Day6 - 业务逻辑漏洞实战攻防
hongrisec的博客
02-29 889
本文由红日安全成员: Orion 编写,如有不当,还望斧正。 大家好,我们是红日安全-Web安全攻防小组。此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起了一个名字叫 Web安全实战 ,希望对想要学习Web安全的朋友们有所帮助。每一篇文章都是于基于漏洞简介-漏洞原理-漏洞危害-测试方法(手工测试,工具测试)-靶场测试(分为PHP靶场、JAVA靶场、Python...
app漏洞挖掘之逻辑漏洞/0day漏洞-详细攻防指南
程序员三九的博客
06-08 892
国务院批转发展改革委等部门关于深化收入分配制度改革若干意见的通知(国发〔2013〕6号)
浅谈——业务逻辑漏洞
LainWith的博客
10-11 2152
目录什么是业务逻辑漏洞产生原因脑图有哪些应用场景?哪些危害?越权支付漏洞靶机案例修改支付金额密码找回绕过越权防御方式参考 | 提示????: “业务逻辑"一词仅指定义应用程序操作方式的一组规则。由于这些规则并不总是与企业直接相关,因此相关的漏洞也称为"应用逻辑漏洞"或简单的"逻辑缺陷”。 什么是业务逻辑漏洞 业务逻辑漏洞是:应用程序在设计和实施的时候存在缺陷,允许攻击者诱发意外行为,像是设计的方案被人钻了空子。 通俗理解就是:在编写程序时,只考虑了常规的操作流程,即“当在A情况下,就会出现B
day6-复现一些业务逻辑漏洞
m0_70099896的博客
11-27 38
验证码绕过/爆破/重放/回传进入pikachu靶场on server 在服务器on client 在客户端。
DAY25:逻辑漏洞复现
qq_49433473的博客
08-08 1153
phpaacms垂直漏洞复现 Catfishcms水平越权漏洞复现 大米cms--0元支付逻辑漏洞 Bugscan--支付竞争漏洞
DAY25:逻辑漏洞
qq_49433473的博客
08-08 468
水平越权,垂直越权,支付逻辑漏洞,验证码逻辑漏洞
未公开 1day 泛微-ecology-10-appThirdLogin-任意用户登录漏洞
weixin_43167326的博客
08-30 706
泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。
某OA-videotexMonitor-sql注入漏洞-未公开0day漏洞复现
weixin_43167326的博客
01-29 538
飞企OA是一款高效的办公自动化系统,它通过整合企业资源,简化了办公流程,提高了工作效率。飞企OA主要具备以下特点:首先,它实现了流程的自动化,包括审批、请假、报销等各类业务流程,大大减少了人工操作,提高了工作效率。其次,飞企OA提供了文档管理功能,支持文档的上传、存储、共享和版本控制,方便团队成员共同编辑、审阅和跟踪文档。此外,飞企OA还具有任务协作功能,帮助团队更好地协作完成任务,提高项目执行效率。同时,飞企OA还提供了多种沟通交流工具,方便员工随时随地保持沟通。
0day 新接口泛微e-cology getHendledWorkflowRequestList SQL注入漏洞
资深程序员,曾自学JAVA,C#,如今从业于网安行业
07-19 866
漏洞挖掘是指通过分析软件、系统或网络中存在的安全漏洞来发现并利用这些漏洞。漏洞挖掘是信息安全领域的一项重要工作,可以帮助企业和组织提高系统的安全性,避免黑客攻击和数据泄露。漏洞挖掘的流程一般可以概括为以下几个步骤:确定目标:确定要挖掘的软件或系统。这可能是一个应用程序、操作系统、网络设备或其他系统。收集信息:收集有关目标的信息,包括架构、协议、版本和配置等。这些信息可以通过互联网搜索、手动扫描、自动化工具和其他途径获得。分析漏洞:通过手动和自动化技术进行漏洞分析,识别潜在的漏洞类型和攻击面。
宜立方商场文档 day01-至-day14(全).zip
01-29
开发过程中,学员将学习如何运用前端技术如HTML、CSS、JavaScript实现页面交互,以及后端技术如Java、Python或PHP进行业务逻辑处理。数据库操作、API接口设计、安全性考虑等都是这一阶段的重点。 4. **系统完善与...
浏览器1day攻防与检测.pdf
09-11
浏览器1Day攻防与检测是网络安全领域中一个关键的话题,主要关注的是针对最新未公开漏洞的攻击策略以及相应的防御和检测方法。这些攻击通常利用浏览器的未知漏洞,也就是所谓的"0-day"漏洞,来对用户进行恶意攻击。...
什么是0day漏洞?如何预防0day攻击?
m0_72559519的博客
08-26 2340
近些年,0day攻击正在变得越来越频繁,虽然目前不能完全防范0day攻击,但是企业通过建设完善的检测防护体系,同时提升人员防范意识,可以减少网络系统被0day攻击的几率,降低0day攻击给自身企业造成的损失。在攻击中,黑客们往往目的明确,有的放矢,采用“社工+常规攻击+0day漏洞”或多种0day漏洞的组合式攻击,偷偷的来,偷偷的伤害,看不见的才是最可怕的,0day攻击正是如此。:此时漏洞即0day漏洞,是已经被发现,还未被公开,官方还没有相关补丁的漏洞,攻击者此时攻击如入无人之境,...
网络安全 | JAVA代码审计】基础安全问题和解决方法初探
等风来
10-02 685
无占位符的预处理,其实质仍然是通过字符串拼接的方式来构造SQL语句,SQL注入依然存在,这是开发中需要谨记的。
Linux 再入门整理:详解 /etc/fstab 文件
一只奋斗的猪
10-01 1320
`/etc/fstab` 文件是 Linux 系统中用于定义和管理文件系统的挂载信息的配置文件。它的作用是告诉系统在启动时,应该如何自动挂载各种文件系统。挂载是 Linux 操作系统中一种将存储设备与目录树关联的操作。通过挂载,存储设备中的文件可以通过目录访问。
项目管理-信息技术发展
GAVIN
10-04 643
对称加密:DES 3DES AES RC5 IEDA SM1 SM4。2)分类:PAN LAN MAN WAN 公用网 专用网。4)数据结构模型 层次模型 网状模型 关系模型。1)存储 分类:DAS FAS NAS SAN。物联网(IoT) 感知层 网络层 应用层。8) 5G 高速率 低时延 大连接。设备安全 数据安全 内容安全 行为安全。4.信息安全 保密性 完整性 可用性。3)网络协议 语法 语义 时许。5)IEEE 802 规范。6)TCP/IP 协议。4)网络标准协议 7层。
Mac ToDesk 无法连接网络
最新发布
Primer5
10-04 286
检查登录项,看到后台运行项目是关闭状态,允许后台运行之后返回查看立马显示网络连接正常。网络连接的是 Wi-Fi,打开浏览器能跟正常浏览内容,说明 Wi-Fi 是正常的。检查防火墙是没有阻止ToDesk 的任何连接,说明防火墙也是正常的。
使用socket编程来实现一个简单的C/S模型(TCP协议)
caiji0169的博客
10-02 1716
下图是基于TCP协议的客户端/服务器程序的一般流程:服务器调用socket()、bind()、listen()完成初始化后,调用accept()阻塞等待,处于监听端口的状态,客户端调用socket()初始化后,调用connect()发出SYN段并阻塞等待服务器应答,服务器应答一个SYN-ACK段,客户端收到后从connect()返回,同时应答一个ACK段,服务器收到后从accept()返回。数据传输的过程:建立连接后,TCP协议提供全双工的通信服务,但是一般的客户端/服务器程序的流程是由客户端主动发起请求,
从零开始实现RPC框架---------项目介绍及环境准备
qq_41934502的博客
10-02 455
从零开始实现rpc架构项目介绍
day--和--day区别
04-18
"day--"和"day"是两种不同的操作符,它们在编程中有着不同的含义和用法。 1. "day--"是一个后缀自减操作符,用于将变量的值减1,并返回减1之前的值。例如,如果有一个变量day的值为5,执行day--操作后,day的值将变为4,并且表达式的结果为5。这个操作符通常用于循环或迭代中,用于递减计数器或索引。 2. "day"是一个变量名或标识符,用于表示一个存储数据的位置。它可以是任何合法的变量名,用于存储某个特定类型的数据。例如,可以定义一个变量day来表示一周中的某一天。 总结起来,"day--"是一个操作符,用于递减变量的值;而"day"是一个变量名,用于表示存储数据的位置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值