逻辑漏洞解释:顾名思义,逻辑漏洞就是在程序的代码阶段,对一些数据处理产生逻辑上的漏洞,并且逻辑漏洞只能人工的手动测试才能发现。
常见的逻辑漏洞有:权限绕过,密码找回,验证码自动识别,验证码客户端回显,验证码绕过,验证码暴力破解,验证码重复使用,支付逻辑漏洞,未进行登陆凭证验证等
测试方法:可以通过源代码审计找出漏洞(网上有开源的代码才行),用burp suite抓包工具,进行抓包改包,从而发现漏洞。
漏洞意思详细解释:
权限绕过漏洞:分为水平越权(水平越权,获得同等级用户的权限)和垂直越权(获得高一级,或管理员的权限)
密码找回漏洞:在密码找回页面通过将别人的账号进行密码找回,然后抓包截取改为自己的手机号,并获取验证码,输入验证码可以重置别人密码。
验证码自动识别漏洞:在登录框,登录需要输入的验证码容易被一些工具或者自己写的脚本识别出来。
验证码客户端回显:在客户端通过服务器给手机发送验证码的时候,验证码回显到客户端,造成验证码泄露。
验证码绕过:在登录界面进行抓包,删除掉验证码的字段,还能进行登录。或是通过构造特殊的验证码进行绕过。
验证码暴力破解:验证码的太短,并且验证码有效期比较长,系统没有对验证码的输入错误次数进行限制。
验证码重复使用:在登录页面输入验证码和登录信息用burp suite进行抓包,然后进行重复发包,验证码还能正常使用,服务器回显正常。
支付逻辑漏洞:在支付页面订单的金额或是数量可以随意更改,并且后端服务没有进行验证。
未进行登陆凭证验证:在一些需要登录才能访问的页面,用户可以不用登录直接可以访问。
逻辑漏洞比较多这里就不全部讲完了,下面附上大佬写的逻辑漏洞思维图,文章链接https://www.cnblogs.com/Azjj/p/14002332.html
?