业务逻辑漏洞个人经验集锦【不定时更新~】

最新推荐文章于 2022-06-21 08:59:00 发布
最新推荐文章于 2022-06-21 08:59:00 发布
阅读量187 收藏
点赞数
文章标签: 前端 ViewUI
原文链接:http://www.cnblogs.com/4wheel/p/9007961.html
版权

一、保险类业务:       

  1、如:某公司推出某短期旅游险,有效期只有1天,前端一般改不了时间(改的了那是功能bug了),所以需要抓包绕过js限制

  

  测试点1:生效日期能否改为当前时间之前。(假设你买的是车祸险,昨天出了车祸,今天买保险,把时间改成前天或昨天,那不就保险生效了……)

 

  测试点2:结束时间能否延长,即大于1天。

 

  2、某保险投保时的保额(不是支付金额是要赔偿的金额),所以跟支付金额有点区别,只要最后生成订单的赔偿金额可以任意修改,那肯定是问题了;

   

  测试点:保额/赔偿费 金额修改

 

二、预约抢票类

  测试点1:并发抢票是否可突破一人限N张票的限制。

    方法:(见我另一篇《逻辑漏洞之并发测试》)

 

  测试点2:是否可以用同一个验证码抢所有票种(即:验证码非一次性)。

    方法:先正常流程输入验证码抢票,保存该数据包,更改票种的ID号,仍用刚刚的验证码,提交查看是否成功抢票。

 

三、签到领卷类

  由于签到,领券等这类业务,一般只能一天操作一次,操作会有所限制,则测试时需注意并发发包是否可突破限制。

  测试点:并发测试是否可突破次数限制。

 

 

 

 

如有错误,请及时指正,谢谢!

转载于:https://www.cnblogs.com/4wheel/p/9007961.html

weixin_30745553
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
业务逻辑业务逻辑业务逻辑业务逻辑
05-16
业务逻辑业务逻辑业务逻辑业务逻辑业务逻辑业务逻辑业务逻辑业务逻辑业务逻辑业务逻辑业务逻辑业务逻辑
生命在于学习——业务逻辑漏洞
易水哲的博客
09-01 1334
业务逻辑漏洞
渗透测试学习22:业务逻辑漏洞
weixin_44315099的博客
03-16 371
目录登录认证模块未授权访问和越权验证码相关问题支付漏洞活动相关(薅羊毛)密码找回模块 登录认证模块 万能密码: 现在很少了,但也可以试试。 例子:admin' or '1'='1' 弱口令 社工尝试获取账号,并构造密码库。 明文密码传输 edu常有,但是不算src,可以在报告里凑数。 cookie仿冒 有些网站对cookie检测不严格,我们可以构造一些cookie来登录。 session会话固定 会话固定攻击是利⽤服务器的session不变机制,攻击者⾸先登陆⾃⼰的账号, 获取⾃⼰的sessionid,⽐
业务安全漏洞挖掘归纳总结
zhangge3663的博客
03-12 1688
0x00 索引说明 6.30在OWASP的分享,关于业务安全的漏洞检测模型。进一步的延伸科普。 0x01 身份认证安全 1 暴力破解 在没有验证码限制或者一次验证码可以多次使用的地方,使用已知用户对密码进行暴力破解或者用一个通用密码对用户进行暴力破解。简单的验证码爆破。URL: http://zone.wooyun.org/content/20839 Burpsuite htp...
web渗透常见漏洞总结
gugonggugong的博客
01-14 3443
一、SQL注入 1. 原理 SQL:结构化查询语言 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 SQL注射能使攻击者绕过认证机制,完全控制远程服务器上的数据库。 当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击;如果代码使用存储过程,而这些存储过程作为包含未筛选的用户输入的字符串来传递,也会发生sql注入。 2. 不同数据库的注入 MySQL access...
自动化仪表维护安装经验集锦
03-24
自动化仪表维护安装经验集锦 介绍了关于自动化仪表维护安装经验集锦的详细说明,提供仪器仪表的技术资料的下载。
纯ppt设计海报宣传页二木个人作品集锦
05-10
纯ppt设计海报宣传页二木个人作品集锦,本模板共39P,纯ppt设计炫酷动感信息图表、电影宣传海报、朋友圈长图、ppt封面等,“P界达人”二木作品。
《21天生存战》蛋蛋ppt个人作品集锦
05-10
《21天生存战》蛋蛋ppt个人作品集锦,本模板共28P,内容包括人物介绍、手机宣传、电影人物介绍、封面、公司历程图表、合作伙伴页面模板等,设计简约大气精美,视觉冲击感强烈,“P界达人”蛋蛋作品。
《21天生存战》阿宅ppt个人作品集锦
05-10
《21天生存战》阿宅ppt个人作品集锦第二期,本模板共33P,内容包含炫酷的科技感数据图表,活力动感的人物介绍,高端大气产品介绍等模板,“P界达人”Jackoo_阿宅作品。
《21天封面养成记》叶宏泽ppt个人作品集锦
05-10
《21天封面养成记》叶宏泽ppt个人作品集锦,本模板共21P,内容为ppt封面模板作品,行业包括美食、摄影、文化、商务、节日、汽车、电子产品、体育、抗疫、城市宣传等,“P界达人”叶宏泽作品。
细说业务逻辑(后篇)
liukeforever的专栏
12-18 737
细说业务逻辑(后篇) 作者:EricZhang(T2噬菌体)  来源:博客园  时间:2009-11-01  阅读:295 次  原文链接   [收藏]     前篇:http://kb.cnblogs.com/page/50470/   3、业务逻辑的架构模式及实现   Mart
电商类逻辑漏洞
土拨鼠挖洞中的博客
10-05 1055
  5.1验证码回传漏洞 抓取response数据包检查信息。   5.2任意用户注册漏洞   第一步,利用自己的手机号接收验证码进行验证,下一步跳转到一个设定密码的页面   第二步,抓包,篡改手机号,使用任意手机号进行注册   5.3短信轰炸 第一种,有一定时间间隔,无限下发。 第二种,无限制,无限下发。   5.4暴力破解 暴力穷举的方式大量尝试性的猜破密码。   ...
逻辑漏洞归纳总结
zhangge3663的博客
03-13 1221
Web安全渗透方向,三大核心:输入输出、登录体系、权限认证。 典型的web漏洞:注入、跨站、上传、代码执行等属于输入输出这个层级,这也是OWASP早期比较侧重的;近年来,像越权漏洞逻辑绕过、接口安全等逐渐增多,这些属于登录体系和权限认证这个层级。 业务逻辑漏洞主要包括以下分类: 1.登录体系安全 2.业务一致性 3.业务数据篡改 4.密码找回 5.验证码突破 6.会话权限 7.数据重放 8.接...
逻辑处理漏洞
chaojixiaojingang
08-13 1618
逻辑处理漏洞 大多数的漏洞都是由于程序的逻辑失误导致的,都可以叫做逻辑漏洞。目前逻辑漏洞是各大企业存在最多的漏洞之一,因为逻辑漏洞在挖掘和利用时都需要进行一些逻辑判断,机器代码很难模拟这块的逻辑处理。下面我们从代码层逻辑错误导致的漏洞开始分析,再到应用业务层常见漏洞分析,如支付、找回密码、程序安装等。 挖掘经验 由于业务逻辑漏洞大多都存在逻辑处理以及业务流程中,没有特别明显的关键可以用来快速定...
关于一些业务逻辑的处理技巧
浪漫鼠
10-17 7822
写一些较复杂的业务逻辑时有哪些地方需要注意呢? (1)复杂的业务相对的经常有频繁访问固定数据的情况: 这时读取数据,尽量一次性读取出来,然后存入对象中,后面用到哪个就从对象中取就好了。这样往往可以节省大量的时间。 (2)尽量写共用方法,把同一段相似的逻辑,用一个个可共用的方法拼装起来。既提高了代码重用的范围,又能减少代码量,更重 要的是做了统筹、规划处理,将逻辑理清楚了。 (3)执行的过
各行业常见漏洞
Litbai_zhang
06-28 1120
互联网行业 互联网行业 通用业务模块 业务逻辑漏洞 登陆 暴力破解用户名密码 撞库 验证码爆破和绕过 手机号撞库 账户权限绕过 注册 恶意用户批量注册 恶意验证注册账户 存储型XSS 密码找回 重置任意用户账户密码 批量重置用户密码 新密码劫持 短信验证码劫持 用户邮箱劫持篡改 后台管理 管理员用户名密码绕过 目录遍历 会员系统 用户越权访问 个人资料信息泄漏 个人资料
业务逻辑安全思路总结
06-21 3077
在一些关键的业务场景里,我们最应该关注的安全问题是什么呢? 想到这,发现挺有意思的,于是我重新去梳理了一下业务逻辑方面的内容,做了一张关于业务逻辑安全的思维导图,在整理的过程中,自己的思路越加清晰。分享给屏幕前的你,希望你亦有所获。如有遗漏,欢迎补充。 01、防前端绕过 前端校验增加用户体验,后端校验才能保障接口安全性。 漏洞案例:支付计价的逻辑写在前端,后端没有做数据校验,从而导致0元支付...
业务漏洞挖掘笔记
hackzkaq的博客
03-04 498
更多黑客技能 公众号:小道黑客 业务漏洞挖掘笔记 多年的实战业务漏洞挖掘经验,为了让今后的业务漏洞挖掘工作更清晰,以及尽可能的把重复性的工作自动化、半自动化,所以花费很大精力做了这个笔记。 具体操作流程: 得到测试目标-目标资产范围确定-资产收集-资产管理-资产分类-具体业务功能理解-业务漏洞测试-逻辑漏洞测试-提交报告 资产管理 很多文章和大佬都讲过,渗透测试的本质就是信息收集,收集到的信息越多,发现漏洞的概率越大,这些信息被称为资产。 那么常规的资产收集手段,思路已经千篇一律了,围绕着子域名和IP收
挖洞思路——支付逻辑漏洞
吃肉唐僧的博客
08-22 1486
支付逻辑漏洞 定义:支付逻辑漏洞是指系统的支付流程中存在业务逻辑层面的漏洞。 支付逻辑漏洞一般分为四类: 1.支付过程中可以修改支付金额 2.可以将订单中的商品数量修改为负值 3.请求重放 4.其他问题(程序异常,其他参数修改导致问题等) 测试方法 工具burpsite ...
edge集锦打不开,显示阻止此内容
最新发布
06-10
这种情况可能是由于您的浏览器或网络安全设置对该网站的内容进行了阻止。您可以尝试以下几个步骤来解决这个问题: 1. 检查您的浏览器的安全设置,确保它们没有阻止该网站的内容。 2. 检查您的网络安全设置,例如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值