【业务逻辑漏洞】登录业务逻辑漏洞

最新推荐文章于 2024-07-19 08:49:21 发布
最新推荐文章于 2024-07-19 08:49:21 发布
阅读量447 收藏 9
点赞数 9
分类专栏: 业务逻辑漏洞 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wj33333/article/details/134650846
版权

登录业务逻辑漏洞

        登录业务逻辑漏洞是指由于登录过程中的逻辑设计不当而引起的潜在威胁

基础环境:

系统环境Windows(server2016)
开发环境phpstudy_2016

环境代码:

<?php

$passwd="admin";//模拟数据库存储的密码

$pwd=@$_GET["p"];

if($pwd==$passwd or $_GET["user"]=="root"){
	
	echo "welcome to system";
	
}else{
	
	echo "please login";	
}
?>

网站登录正常环境:

根据源代码构造:

http://10.9.47.3/1.php?p=admin

成功登录

http://10.9.47.3/1.php?p=admin1&user=root

成功登录 

因为源代码中验证密码用的or逻辑(判断有一个为真,值为真)关系和拼接,没有任何过滤,导致两者都可以进行登录(这里只是将逻辑漏洞存在原理)

危害:

  • 缺乏访问控制:如果一个程序未能有效地验证用户的身份,攻击者可以通过伪造账号和密码来访问系统资源。
  • 缓存攻击:如果登录成功后没有清除缓存,攻击者可以在一段时间内再次登录。
  • 登录失败:如果登录失败次数过多,可能会导致系统拒绝合法用户的登录。

 

wj33333
关注
  • 9
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
4.13. 逻辑漏洞 / 业务漏洞
Sumarua的博客
07-04 2469
文章目录4.13. 逻辑漏洞 / 业务漏洞4.13.1. 简介4.13.2. 安装逻辑4.13.3. 交易4.13.3.1. 购买4.13.3.2. 业务风控4.13.4. 账户4.13.4.1. 注册4.13.4.2. 邮箱用户名4.13.4.3. 手机号用户名4.13.4.4. 登录4.13.4.5. 找回密码4.13.4.6. 修改密码4.13.4.7. 申诉4.13.5. 2FA4.13.6. 验证码4.13.7. Session4.13.8. 越权4.13.9. 随机数安全4.13.10. 其他4
Portswigger 业务逻辑漏洞 靶场
A182184的博客
12-21 894
burpsuite业务逻辑漏洞一些实验
业务安全-02】业务逻辑漏洞之越权操作
cc
03-20 1833
一般越权漏洞容易出现在权限页面(需要登录的页面)增、删、改、查的的地方,当用户对权限页面内的信息进行这些操作时,后台需要对 对当前用户的权限进行校验,看其是否具备操作的权限,从而给出响应,而如果校验的规则过于简单则容易出现越权漏洞。当将其值进行修改,就可以查看到别的用户的信息。如果使用用户A的权限去操作用户A的数据,用户A的权限小于用户B的权限,如果能够成功操作,则称之为越权操作。用户A和用户B属于同一级别的用户,但双方不能操作对方的个人信息,如果用户A越权操作用户B的个人信息,我们称之为水平越权操作。
业务逻辑漏洞
qq_41453632的博客
11-23 3567
业务逻辑漏洞定义: 业务逻辑漏洞是指由于程序逻辑不严谨或逻辑太复杂,导致一些逻辑分支不能正常处理或处理错误。 业务逻辑漏洞特性: 业务逻辑漏洞只出现于业务流程中(模块功能),也就是说网站的部分都有可能存在逻辑错误漏洞。 业务逻辑漏洞常见分类:   业务逻辑漏洞中用户体系包含如下问题:                   (1)密码重置问题                   (...
业务安全逻辑漏洞
Hi~ 土拨鼠
12-29 1386
文章目录业务安全概述黑客攻击的目标业务安全测试流程测试准备业务调研业务建模业务流程梳理业务风险点的识别开展测试撰写报告业务数据安全商品支付金额篡改前端JS 限制绕过验证请求重放测试业务上限测试商品订购数量篡改damiCMS V5.1为例密码找回安全验证码客户端回显测试验证码暴力破解Response 状态值修改测试Session 覆盖弱token 设计缺陷测试密码找回流程绕过测试接口参数账号修改metinfo V4.0为例 业务安全 概述 近年来,随着信息化技术的迅速发展和全球一体化进程的不断加快,计算机和网
业务逻辑漏洞总结
weixin_40270125的博客
04-18 283
业务逻辑漏洞总结
安全Web应用常见业务逻辑漏洞
qqchaozai的专栏
10-29 6151
1短信炸弹 漏洞描述 短信轰炸攻击是常见的一种攻击,攻击者通过网站页面中所提供的发送短信验证码的功能处,通过对其发送数据包的获取后,进行重放,如果服务器短信平台未做校验的情况时,系统会一直去发送短信,这样就造成了短信轰炸的漏洞。 渗透测试 手工找到有关网站注册页面,认证页面,是否具有短信发送页面,如果有,则进行下一步。 通过利用burp或者其它抓包截断工具,抓取发送验证码的数据包,并且进行...
逻辑漏洞:支付逻辑漏洞
qq_68163788的博客
05-03 1414
支付逻辑漏洞是指在支付系统中存在的一系列问题,包括但不限于重复支付、金额篡改、未经授权的退款、支付验证不严格和支付信息泄露等。这些漏洞可能导致用户遭受经济损失,面临欺诈风险,以及可能暴露个人隐私信息。因此,支付系统的安全性和稳定性对于用户和商家来说至关重要。
张小白的渗透之路(十)——业务逻辑漏洞
Litbai_zhang
12-27 1807
业务逻辑漏洞 由于程序逻辑不严谨或逻辑太过复杂,导致一些逻辑分支不能正常处理或处理错误,统称为 业务逻辑漏洞 关注重点 业务流程 HTTP/HTTPS 请求分析 漏洞分类 身份认证 暴力破解 在 没有 验证码限制或者一次验证码可以使用 多次 使用的情况下 使用已知用户名对密码进行暴力破解 使用一个弱口令密码对用户进行暴力破解 ...
web渗透测试----22、业务逻辑漏洞--(1)示例
七天
06-15 1018
业务逻辑漏洞示例
永无休止的业务逻辑“漏洞”.pdf
08-07
业务逻辑漏洞,它本身不是咱们说的网络层,系统层,代码层,它本身是跟人相关的,它称之为业务设计缺陷。接下来锅涛老师就给大家全方位讲解一下,在我们程序开发过程中,怎么去规避。除了学会如何规避,还将引发你去...
业务逻辑漏洞(简)_V1.3.xlsx
05-14
由于程序逻辑不严谨或逻辑太过复杂,导致一些逻辑分支不能正常处理或处理错误,统称为 业务逻辑漏洞越权漏洞分为水平越权漏洞和垂直越权漏洞, 水平越权指原相同等级权限的用户,A用户可以查看或操作到B用户的私有...
业务逻辑漏洞(详)_V1.2.xlsx
05-14
越权漏洞分为水平越权漏洞和垂直越权漏洞, 水平越权指原相同等级权限的用户,A用户可以查看或操作到B用户的私有信息。 垂直权限指不在同权限等级的用户,低权限等级的用户可以查看或操作高权限等级的私有信息
惊险刺激的业务逻辑漏洞
05-31
适合经常写代码又对安全不太关注的同学看看,相信会对你有所帮助,
125-业务逻辑漏洞挖掘.pdf
03-15
125-业务逻辑漏洞挖掘
权威认可 | 海云安开发者安全助手系统通过信通院支撑产品功能认证并荣获信通院2024年数据安全体系建设优秀案例
haiyunan的博客
07-16 542
在“某省烟草数据安全体系建设规划”项目实践中,海云安基于双生命周期融合与零信任架构的总体思路,立足业务基于场景,通过建设技术、管理、运营三大体系,为公司构建了覆盖数据生命周期、应用生命周期的“数盾”,解决数据安全合规、风险管控、业务影响控制等问题,从而为公司打造一个安全可靠的数据使用环境,助力公司持续稳健发展。通过实施数据安全零信任架构,企业将显著提高数据安全性,减少数据泄露和网络攻击的风险,增强对复杂安全环境的应对能力,实现持续的安全保护和合规运营。
邮件安全篇:邮件端到端加密S/MIME
最新发布
sdexcel的专栏
07-19 774
本文主要介绍电子邮件端到端加密S/MIME的工作原理及客户端支持现状。
全文翻译 | OWASP《LLM安全与治理检查清单》
lurenjia404的博客
07-17 811
本文是OWASP(开放式网络应用安全项目)发布的《LLM AI安全与治理清单》(以下简称“清单”),旨在为使用大型语言模型(LLM)的组织提供安全与治理方面的指导。清单强调了负责任和可信的人工智能(AI)的重要性,并指出AI技术,尤其是LLM,在创新、效率和商业成功方面具有巨大潜力,同时也带来了明显的挑战。文中讨论了LLM面临的挑战,包括控制和数据平面的不可分割性、非确定性设计、语义搜索的使用等,并强调了LLM增加的攻击面和相关风险。
园区道路车辆智能管控视频解决方案,打造安全畅通的园区交通环境
TSINGSEE青犀视频官方技术博客
07-16 804
AI智能分析网关V4消防通道占用算法基于人工智能视觉分析技术,通过摄像头实时监测识别是否有机动车违规停放在消防车通道上,并及时提醒管理人员进行处理。
业务逻辑漏洞思维导图
11-11
但是,我可以为您介绍一下业务逻辑漏洞的概念和一些常见的例子。 业务逻辑漏洞是指在应用程序的业务逻辑中存在的漏洞,这些漏洞可能会导致应用程序的行为与预期不符,从而导致安全问题。业务逻辑漏洞通常是由于开发...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值