原理:
业务逻辑漏洞是指由于业务流程或逻辑设计不当所引起的潜在威胁。这类漏洞通常表现为应用程序未能有效地处理特定的输入,或者缺乏适当的访问控制机制,从而导致非预期的结果或数据泄露。
1.验证码绕过
基本环境:
靶场环境 | pikachu靶场验证码绕过 |
工具 | BurpSuite |
系统环境 | Windows (server2016) |
漏洞复现:
验证码绕过on client(客户端)
1.输入正确的验证码,
查看验证码正确响应的回显
2,burpSuite抓包
查看正确响应
3.删除验证码
4.无视验证码
正常使用爆破
找到正确密码:admin : 123456
验证码绕过on server(服务端验证)
1.输入正确的验证码
查看验证码正确响应的回显
2.BurpSuite抓包
重放发现错误
3.我们输入新生成的验证码
发现显示正常
4.修改密码查看回显
依旧是正常回显
5.使用intruder进行密码爆破爆破
找到正确密码:admin : 123456