逻辑漏洞是由于程序逻辑不严或逻辑太复杂,导致被***者利用,从而通过篡改相关数据来达到自己的目的,如绕过登录校验等!
实践操作
简单原理介绍
(这里只对本次实践原理的一个简单介绍)由于对登录的账号及口令校验存在逻辑缺陷,或再次使用服务器端返回的相关参数作为最终登录凭证,导致可绕过登录限制,如服务器返回一个flag参数作为登录是否成功的标准,但是由于代码最后登录是否成功是通过获取这个flag参数来作为最终的验证,导致***者通过修改flag参数即可绕过登录的限制!
截断数据包
设置显示响应包
修改响应包
登录成功
第二种修改响应包的方法
这种修改对于后续需要继续修改的比较适用,如修改cookie来维持访问的这种!
修复建议
修改验证逻辑,如是否登录成功服务器端返回一个参数,但是到此就是最终验证,不需要再对返回的参数进行使用并作为登录是否成功的最终判断依据!