逻辑漏洞

1. 逻辑漏洞概述

什么是逻辑漏洞

随着网络安全法的实施、企业和用户安全意识的提高,Web安全已经成为了重点关注的方向。诸如使用安全开发框架、部署安全防护设备等防护手段的使用，使得网站的常规漏洞越来越少。以SQL注入为例，由于其危害巨大，常年稳居OWASP Top 10的第一位，目前很多Web开发框架在底层就直接杜绝的SQL注入问题。

但“逻辑漏洞”一词现在却更加热门，很可能成为Web漏洞的主战场。之所以称之为“逻辑漏洞”，是因为在代码之后是人的逻辑，人更容易犯错，是编写完程序后随着人的思维理解产生的不足，所以逻辑漏洞一直都在。

相比SQL注入、XSS漏洞等传统安全漏洞，SQL注入、XSS等漏洞可以通过安全框架等避免，并且攻击流量非法，对原始程序进行了破坏，防火墙可以检测；所以现在的攻击者更倾向于利用业务逻辑层的应用安全问题，逻辑漏洞就是指攻击者利用业务的设计缺陷，获取敏感信息或破环业务的完整性。一般出现在密码修改（没有旧密码验证）越权访问、密码找回、交易支付等功能处。而且由于逻辑漏洞产生的流量多数为合法流量，传统的安全防御设备和措施收效甚微，一般的防护手段或设备无法阻止，这类问题往往危害巨大，可能造成了企业的资产损失和名誉受损，所以导致了逻辑漏洞成为了企业防护中的难题。

逻辑漏洞分类

验证机制缺陷

会话管理缺陷

权限管理缺陷

业务逻辑缺陷

1. 如何挖掘逻辑漏洞

逻辑漏洞的挖掘其实也是思路拓展的过程

1.测试业务的时候，先了解清楚业务整体流程，可以利用思维导图快速理清各个业务之间的关系也可以通过查看 JS 了解（JS 中可能会存在信息泄漏）

2.重点关注的业务：个人（他人）信息、密码修改（找回）、支付流程、注册流程、需要手机（邮箱）验证的业务

3. 对每个业务模块进行抓包，分析其中各种请求，注意 特殊参数，很有可能就是这些 特殊参数 决定了业务步骤

4. 抓包重放的过程，需要多次实验，判断是否可以跳过（绕过），如何跳过（绕过），纯数字可以用 数字 + 字母 尝试绕过

5. 返回包中数据的分析，关注特殊字符串和特殊参数

6.综上所述，业务流程需同时结合 HTTP/HTTPS 请求分析，关注重点在各种可以用于区别的参数，绕过必要验证，跳过业务步骤

1. 交易支付中的逻辑问题

支付类逻辑

1.商品价格修改：在购买商品的时候，通过抓包通过修改商品的价格，即可造成0.01元购买商品。这里修改商品价格的地方很多，加入购物车的时候可以修改，提交订单的时候也可以修改，这个看情况进行修改。

2.商品数量修改：有些开发会对商品的价格进行封装，我们通过修改数据包没法进行修改，但是这里的商品数量可以改为-1，然后我们再选择别的商品，即可造成价格抵扣。这里修改的地方也是加入购物车的时候可以修改，提交订单的时候也可以修改。

3.运费修改：这个跟以上同理，但是有些开发只对商品做了限制，忽略了运费这一点，通过修改运费为负数，即可抵扣商品。

4.支付金额修改：这个就是最后一步支付的时候，可以修改订单的价格，造成低价购买。

1. 密码修改逻辑漏洞

 

登陆页面

点击找回密码功能，输入内容后发现前端验证，未向后端发送数据包

 

找回密码

从验证码入手，看看发送验证码的情况