【业务逻辑漏洞】登录业务逻辑漏洞

最新推荐文章于 2024-07-10 17:18:35 发布
最新推荐文章于 2024-07-10 17:18:35 发布
阅读量445 收藏 9
点赞数 9
分类专栏: 业务逻辑漏洞 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wj33333/article/details/134650846
版权

登录业务逻辑漏洞

        登录业务逻辑漏洞是指由于登录过程中的逻辑设计不当而引起的潜在威胁

基础环境:

系统环境Windows(server2016)
开发环境phpstudy_2016

环境代码:

<?php

$passwd="admin";//模拟数据库存储的密码

$pwd=@$_GET["p"];

if($pwd==$passwd or $_GET["user"]=="root"){
	
	echo "welcome to system";
	
}else{
	
	echo "please login";	
}
?>

网站登录正常环境:

根据源代码构造:

http://10.9.47.3/1.php?p=admin

成功登录

http://10.9.47.3/1.php?p=admin1&user=root

成功登录 

因为源代码中验证密码用的or逻辑(判断有一个为真,值为真)关系和拼接,没有任何过滤,导致两者都可以进行登录(这里只是将逻辑漏洞存在原理)

危害:

  • 缺乏访问控制:如果一个程序未能有效地验证用户的身份,攻击者可以通过伪造账号和密码来访问系统资源。
  • 缓存攻击:如果登录成功后没有清除缓存,攻击者可以在一段时间内再次登录。
  • 登录失败:如果登录失败次数过多,可能会导致系统拒绝合法用户的登录。

 

wj33333
关注
  • 9
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
4.13. 逻辑漏洞 / 业务漏洞
Sumarua的博客
07-04 2469
文章目录4.13. 逻辑漏洞 / 业务漏洞4.13.1. 简介4.13.2. 安装逻辑4.13.3. 交易4.13.3.1. 购买4.13.3.2. 业务风控4.13.4. 账户4.13.4.1. 注册4.13.4.2. 邮箱用户名4.13.4.3. 手机号用户名4.13.4.4. 登录4.13.4.5. 找回密码4.13.4.6. 修改密码4.13.4.7. 申诉4.13.5. 2FA4.13.6. 验证码4.13.7. Session4.13.8. 越权4.13.9. 随机数安全4.13.10. 其他4
业务安全-02】业务逻辑漏洞之越权操作
cc
03-20 1831
一般越权漏洞容易出现在权限页面(需要登录的页面)增、删、改、查的的地方,当用户对权限页面内的信息进行这些操作时,后台需要对 对当前用户的权限进行校验,看其是否具备操作的权限,从而给出响应,而如果校验的规则过于简单则容易出现越权漏洞。当将其值进行修改,就可以查看到别的用户的信息。如果使用用户A的权限去操作用户A的数据,用户A的权限小于用户B的权限,如果能够成功操作,则称之为越权操作。用户A和用户B属于同一级别的用户,但双方不能操作对方的个人信息,如果用户A越权操作用户B的个人信息,我们称之为水平越权操作。
业务逻辑漏洞
qq_41453632的博客
11-23 3566
业务逻辑漏洞定义: 业务逻辑漏洞是指由于程序逻辑不严谨或逻辑太复杂,导致一些逻辑分支不能正常处理或处理错误。 业务逻辑漏洞特性: 业务逻辑漏洞只出现于业务流程中(模块功能),也就是说网站的部分都有可能存在逻辑错误漏洞。 业务逻辑漏洞常见分类:   业务逻辑漏洞中用户体系包含如下问题:                   (1)密码重置问题                   (...
业务安全逻辑漏洞
Hi~ 土拨鼠
12-29 1383
文章目录业务安全概述黑客攻击的目标业务安全测试流程测试准备业务调研业务建模业务流程梳理业务风险点的识别开展测试撰写报告业务数据安全商品支付金额篡改前端JS 限制绕过验证请求重放测试业务上限测试商品订购数量篡改damiCMS V5.1为例密码找回安全验证码客户端回显测试验证码暴力破解Response 状态值修改测试Session 覆盖弱token 设计缺陷测试密码找回流程绕过测试接口参数账号修改metinfo V4.0为例 业务安全 概述 近年来,随着信息化技术的迅速发展和全球一体化进程的不断加快,计算机和网
业务逻辑漏洞总结
weixin_40270125的博客
04-18 282
业务逻辑漏洞总结
安全Web应用常见业务逻辑漏洞
qqchaozai的专栏
10-29 6127
1短信炸弹 漏洞描述 短信轰炸攻击是常见的一种攻击,攻击者通过网站页面中所提供的发送短信验证码的功能处,通过对其发送数据包的获取后,进行重放,如果服务器短信平台未做校验的情况时,系统会一直去发送短信,这样就造成了短信轰炸的漏洞。 渗透测试 手工找到有关网站注册页面,认证页面,是否具有短信发送页面,如果有,则进行下一步。 通过利用burp或者其它抓包截断工具,抓取发送验证码的数据包,并且进行...
逻辑漏洞:支付逻辑漏洞
qq_68163788的博客
05-03 1389
支付逻辑漏洞是指在支付系统中存在的一系列问题,包括但不限于重复支付、金额篡改、未经授权的退款、支付验证不严格和支付信息泄露等。这些漏洞可能导致用户遭受经济损失,面临欺诈风险,以及可能暴露个人隐私信息。因此,支付系统的安全性和稳定性对于用户和商家来说至关重要。
张小白的渗透之路(十)——业务逻辑漏洞
Litbai_zhang
12-27 1806
业务逻辑漏洞 由于程序逻辑不严谨或逻辑太过复杂,导致一些逻辑分支不能正常处理或处理错误,统称为 业务逻辑漏洞 关注重点 业务流程 HTTP/HTTPS 请求分析 漏洞分类 身份认证 暴力破解 在 没有 验证码限制或者一次验证码可以使用 多次 使用的情况下 使用已知用户名对密码进行暴力破解 使用一个弱口令密码对用户进行暴力破解 ...
Portswigger 业务逻辑漏洞 靶场
A182184的博客
12-21 890
burpsuite业务逻辑漏洞一些实验
web渗透测试----22、业务逻辑漏洞--(1)示例
七天
06-15 1018
业务逻辑漏洞示例
永无休止的业务逻辑“漏洞”.pdf
08-07
业务逻辑漏洞,它本身不是咱们说的网络层,系统层,代码层,它本身是跟人相关的,它称之为业务设计缺陷。接下来锅涛老师就给大家全方位讲解一下,在我们程序开发过程中,怎么去规避。除了学会如何规避,还将引发你去...
业务逻辑漏洞(简)_V1.3.xlsx
05-14
由于程序逻辑不严谨或逻辑太过复杂,导致一些逻辑分支不能正常处理或处理错误,统称为 业务逻辑漏洞越权漏洞分为水平越权漏洞和垂直越权漏洞, 水平越权指原相同等级权限的用户,A用户可以查看或操作到B用户的私有...
业务逻辑漏洞(详)_V1.2.xlsx
05-14
越权漏洞分为水平越权漏洞和垂直越权漏洞, 水平越权指原相同等级权限的用户,A用户可以查看或操作到B用户的私有信息。 垂直权限指不在同权限等级的用户,低权限等级的用户可以查看或操作高权限等级的私有信息
惊险刺激的业务逻辑漏洞
05-31
适合经常写代码又对安全不太关注的同学看看,相信会对你有所帮助,
125-业务逻辑漏洞挖掘.pdf
03-15
125-业务逻辑漏洞挖掘
移动互联安全扩展要求测评项
hakksjss的博客
07-10 1131
应为无线接入设备的安装选择合理位置,避免过度覆盖和电磁干扰。无线接入设备的安装位置选择不当,易被攻击者利用,特别是攻击者会通过无线信号过度覆盖的弱点进行无线渗透攻击,因此要选择合理的位置安装无线接入设备。
中小学校园EasyCVR视频综合监管方案:构建安全、智能的校园环境
最新发布
TSINGSEE青犀视频官方技术博客
07-10 1175
针对校园食堂后厨、仓库、配菜、清洗等监控区域的环境卫生与安全等进行全面的监管,及时发现违规异常情况,并能向监管人员及时发送告警信息,保障在校师生的食品与饮食安全
[图解]SysML和EA建模住宅安全系统-14-黑盒系统规约
rolt的专栏
07-10 809
系统的外部可观察行为和物理特征
网络安全威胁情报到底是什么
学-> 思->用
07-10 396
网络安全威胁情报是提升组织安全态势的重要手段,通过收集和分析各种威胁信息,组织可以更有效地预防、检测和响应网络攻击。威胁情报的构成要素包括指标、TTPs、威胁行为体、漏洞、恶意软件和攻击事件。通过合理应用威胁情报,组织可以增强防御能力、提升事件响应效率,并通过情报共享与合作,共同应对复杂多变的网络威胁。
业务逻辑漏洞思维导图
11-11
但是,我可以为您介绍一下业务逻辑漏洞的概念和一些常见的例子。 业务逻辑漏洞是指在应用程序的业务逻辑中存在的漏洞,这些漏洞可能会导致应用程序的行为与预期不符,从而导致安全问题。业务逻辑漏洞通常是由于开发...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值