“我不想挖洞了” “是因为不喜欢吗?”

阅读量99695

发布时间 : 2021-05-06 15:09:06

 

Web漏洞的数量越来越少。但是我们所说的“逻辑漏洞”却一直没有衰退,可以确定的是,以后可能会成为Web漏洞的主战场!

支付功能使用简单的签名算法造成任意参数的修改

常见的支付逻辑,一般就是订单可被恶意修改,比如修改购买数量和单价以形成超低价的总额。

 

验证码功能薄弱,系统面临被爆破登录的风险。

登录里比较简单的一种的情况就是登录界面不存在验证码可以直接爆破,第二种就是存在验证码,但是验证码功能薄弱,可以被工具识别,导致系统面临被爆破登录的风险。

以四位验证码的平台操作为例

获取验证码后随意填写,抓包

然后在intruder里爆破

再用获得的验证码登录即可。测试完毕!

综上操作可得:一旦产生逻辑漏洞,我们找到关键点后往往不用构造恶意的请求即可完成攻击,很容易绕开防护手段。并完成爆破。

 

那么我们如何挖掘呢?

对于逻辑漏洞的挖掘,其实重点就是需要关注流程中每一个包每一个参数的含义和作用。包括:
1.开发的参数设置分析
2.需要不断的改包测试
3.思考:修改一个参数后会影响什么。
理清楚你需要真正掌握的技能点,能够增强执行力,因为当你拆解成各个模块的时候,你的执行力会提高。

当然逻辑漏洞不止上面列举的这些类型,如果大家想了解更多的逻辑漏洞知识,请扫描下方二维码,参与我们的逻辑漏洞三天直播特训(5月6日-5月8日),它会是你“提升”的开始,现在报名,免费学习!

二重福利,我们额外准备了一份100%有用的网安学习常见的工具及学习资料包(足足4个G哟),涉及虚拟机安装包、漏洞扫描工具及信息收集、权限提升、密码字典学习资料等等,我们都为你整理总结好了。

👆扫码领取👆

三重福利,直播间我们有干货,还有抽奖福利,坚守直播!幸运儿就是你。

以下点名人群,你们不要错过
如果你是信息安全专业在校学生,想通过学习从事安全相关工作,那么不要犹豫!

这门课程也适合对黑客渗透技术感兴趣,却不知道怎么入门的同学——可能你对黑客这个群体的印象,只是局限于:是一群玩计算机很厉害的人,能通过电脑一顿操作就拿下一个网站,拿下一个服务器的权限。但是可能并不知道黑客是通过什么方法技巧来达到这个效果的,那么学完这门课,你将正式进入黑客的世界。

最后,未来的互联网行业中一定需要更多的复合型人才,所以,如果你是做功能测试的,做运维的、做开发的更应该好好学习这个课程。进一步帮你掌握核心能力、完成职业路线的规划,成为更受企业欢迎的产品人才!

本课程第一节课即将于5月6日15:00开课,想要率先“晋升”的同学,赶快长按识别下方图片中的二维码,一起加入我们吧!

本文由合天网安实验室原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/240068

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
合天网安实验室
分享到:微信

发表评论

合天网安实验室

湖南蚁景科技有限公司主要从事在线教育平台技术研究及网络培训产品研发,专注网络空间安全实用型人才培养,全面提升用户动手实践能力。

  • 文章
  • 35
  • 粉丝
  • 5

热门推荐

文章目录
内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66