【HR】SRC挖掘技巧① 带你挖漏洞
先写个介绍[玫瑰][玫瑰]业务逻辑漏洞简介
业务逻辑漏洞,是由于程序逻辑不严谨或逻辑太过复杂,导致一些逻辑分支不能正常处理或处理错误,这样的漏洞统称为业务逻辑漏洞。
简单理解:就是编程人员的思维逻辑不够严谨导致攻击者有机可乘的漏洞
逻辑漏洞还是一种虽然没有在owasp top10 中提及到,但是往往会存在的漏洞。好像一名隐士,大隐隐于市,然而造成的破坏可能一点不比sql注入,xss等漏洞小。如下是逻辑漏洞的top10挖掘方向:
1.身份认证安全
2.业务一致性安全
3.业务数据篡改
4.用户输入合法性
5.密码找回漏洞
6.验证码突破
7.业务授权安全
8.业务流程乱序
9.业务接口调用
10.时效绕过测试
这十个都会慢慢写出来的[玫瑰][玫瑰]
http://cdn.u1.huluxia.com/g4/M01/E3/97/rBAAdmJnhZ-AP_yDAAA2GPhE2YQ640.jpg
页:
[1]