记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

\"我不想挖洞了\"\"是因为不喜欢吗?\"

2021-05-05 08:36

Web漏洞的数量越来越少。但是我们所说的“逻辑漏洞”却一直没有衰退,可以确定的是,以后可能会成为Web漏洞的主战场!


  • 支付功能使用简单的签名算法造成任意参数的修改

常见的支付逻辑,一般就是订单可被恶意修改,比如修改购买数量和单价以形成超低价的总额。


  • 验证码功能薄弱,系统面临被爆破登录的风险。

登录里比较简单的一种的情况就是登录界面不存在验证码可以直接爆破,第二种就是存在验证码,但是验证码功能薄弱,可以被工具识别,导致系统面临被爆破登录的风险。


以四位验证码的平台操作为例

获取验证码后随意填写,抓包



然后在intruder里爆破

再用获得的验证码登录即可。测试完毕!


综上操作可得:一旦产生逻辑漏洞,我们找到关键点后往往不用构造恶意的请求即可完成攻击,很容易绕开防护手段。并完成爆破。


那么我们如何挖掘呢?

对于逻辑漏洞的挖掘,其实重点就是需要关注流程中每一个包每一个参数的含义和作用。包括:

1.开发的参数设置分析

2.需要不断的改包测试

3.思考:修改一个参数后会影响什么。

清楚你需要真正掌握的技能点,能够增强执行力,因为当你拆解成各个模块的时候,你的执行力会提高。


当然逻辑漏洞不止上面列举的这些类型,如果大家想了解更多的逻辑漏洞知识,请扫描下方二维码,参与我们的逻辑漏洞三天直播特训(5月6日-5月8日),它会是你“提升”的开始,现在报名,免费学习!


二重福利,我们额外准备了一份100%有用的网安学习常见的工具及学习资料包(足足4个G哟),涉及虚拟机安装包、漏洞扫描工具及信息收集、权限提升、密码字典学习资料等等,我们都为你整理总结好了。



知识来源: https://mp.weixin.qq.com/s?__biz=MzI1NTM4ODIxMw==&mid=2247487629&idx=1&sn=7fc2f0344ffe7c1a3759f91a32aa3917

阅读:50552 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“\"我不想挖洞了\"\"是因为不喜欢吗?\"”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求赞助求支持💖

标签云