【业务逻辑漏洞】登录业务逻辑漏洞

登录业务逻辑漏洞

        登录业务逻辑漏洞是指由于登录过程中的逻辑设计不当而引起的潜在威胁

基础环境:

系统环境Windows(server2016)
开发环境phpstudy_2016

环境代码:

<?php

$passwd="admin";//模拟数据库存储的密码

$pwd=@$_GET["p"];

if($pwd==$passwd or $_GET["user"]=="root"){
	
	echo "welcome to system";
	
}else{
	
	echo "please login";	
}
?>

网站登录正常环境:

根据源代码构造:

http://10.9.47.3/1.php?p=admin

成功登录

http://10.9.47.3/1.php?p=admin1&user=root

成功登录 

因为源代码中验证密码用的or逻辑(判断有一个为真,值为真)关系和拼接,没有任何过滤,导致两者都可以进行登录(这里只是将逻辑漏洞存在原理)

危害:

  • 缺乏访问控制:如果一个程序未能有效地验证用户的身份,攻击者可以通过伪造账号和密码来访问系统资源。
  • 缓存攻击:如果登录成功后没有清除缓存,攻击者可以在一段时间内再次登录。
  • 登录失败:如果登录失败次数过多,可能会导致系统拒绝合法用户的登录。

 

  • 9
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值