CTF实战13 逻辑漏洞

CTF实战13 逻辑漏洞


还是欢迎大家来TG群和我们交流啊哈哈


先拜祖师爷~


CTF实战13 逻辑漏洞
CTF实战13 逻辑漏洞
CTF实战13 逻辑漏洞

重要声明


该培训中提及的技术只适用于合法CTF比赛和有合法授权的渗透测试,请勿用于其他非法用途,如用作其他非法用途与本文作者无关

CTF实战13 逻辑漏洞
CTF实战13 逻辑漏洞


我们今天来了解一下逻辑漏洞


CTF实战13 逻辑漏洞
逻辑漏洞



我们知道,越复杂的应用,权限和流程问题就会越多


由于开发人员的疏忽和不小心,就会造成系统的逻辑Bug


当然,对于开发人员叫Bug但是对于Hacker,就是漏洞了


逻辑漏洞只是对于一系列由于开发人员的失误造成的漏洞的总称


每个逻辑漏洞都有其不同的原理和逻辑问题


这里也没法总结出来一个像SQL注入那样的原理和测试方法


更多的是要测试人员在进行业务逻辑测试的时候


头脑中形成的业务逻辑线,要比开发人员清晰(和比智商差不多)


但是我们还是有一些通用的套路


CTF实战13 逻辑漏洞

sdfd


CTF实战13 逻辑漏洞
常见逻辑漏洞类型


一、权限控制漏洞


这个漏洞是最常见和最普遍的漏洞


比如我们可以查询其他账户的信息,或者修改其他账户的昵称等等信息


这属于权限控制没做好的漏洞


二、数据校验漏洞


比如我们可以提交异常数据进行测试,包括了提交负数/超大转账金额,提交负数/超大积分,或者积分转换输入输出账户互换和转账输入输出账户互换


CTF实战13 逻辑漏洞


本文完


下期内容:任意文件上传漏洞


CTF实战13 逻辑漏洞


CTF实战13 逻辑漏洞


发表评论

电子邮件地址不会被公开。 必填项已用*标注