逻辑漏洞分析(包括却不局限)
以下信息总结于网络,其中也包括一些常规漏洞,禁止用于非法用途!!!
通用业务模块 | 业务逻辑漏洞 |
---|---|
登录 | 暴力破解用户名密码、撞库、验证码爆破和绕过、账户权限绕过、手机号撞库 |
注册 | 恶意用户批量注册、恶意验证注册账户、存储型xss |
密码找回 | 重置任意用户密码、批量重置用户密码、新密码劫持、短信验证码劫持、用户邮箱劫持篡改 |
购买支付 | 商品金额篡改、商品数量篡改、交易信息泄露、退单支付重用优惠、多手机同时付款重用优惠 |
抽奖/活动 | 刷取活动奖品、盗刷积分、抽奖作弊 |
代金券/优惠券 | 批量刷取代金卷/优惠券、更改代金券金额、更改优惠券数量 |
订单 | 订单信息泄露、用户信息泄露、订单遍历 |
账户 | 账户绕过、账户余额盗取、账户绑定手机号绕过 |
抢购活动 | 低价抢购、抢购作弊、刷单 |
运费 | 运费绕过,运费金额修改 |
会员系统 | 用户越权访问、个人资料信息泄露、个人资料遍历 |
传输过程 | cookie注入、cookie跨站、cookie劫持、明文传输 |
评论 | POST注入、CSRF、存储型xss、遍历用户名 |
第三方商家 | 盗号、商家账户遍历、越权访问其他商家用户 |