逻辑漏洞简单的分析
逻辑漏洞这个是很常见的,一些新出来的服务软件啊,服务类型的网站,还有一些电商平台,等等。
为什么这么说了?逻辑漏洞最多被攻击的当属业务系统了,一些不涉及到业务的逻辑漏洞,那这个漏洞最多算个小彩蛋,就像一些游戏当中,打某个关卡时,必须卡 bug 才能通过。
说一个前些日子刚刚发生的事,支付宝密码找回逻辑漏洞,相信你肯定听说过,只要是熟人就能改你的密码,或者知道你的个人一些信息的也可以改,这个是不是就很危险了?
我又为什么说这个逻辑漏洞很常见的?因为程序本身都是程序员自己设计的,所以人吗,总会出现一些小错误的,尤其是业务系统特别长的时候,肯定会出现一些小的逻辑漏洞,如果一些别有用心的人,利用了,那后果还是很危害很大的。
正文开始:
逻辑楼漏洞本身主要被利用于业务系统系列。
# 以下的图,我都是收集的知道创宇某个安全专员的某次大会讲解时的PPT。
比如下图中,涉及到的业务项目。
如果存在逻辑漏洞,那么什么是逻辑漏洞?
正如上图所列的,只是一些常见的逻辑漏洞,还有很多没有列出来,但是就是这些常见的业务逻辑漏洞,如果利用起来,对本公司来说,这是多大的损失?
那我们该如何去发现这个逻辑漏洞了?对,没错! 思考 ! 实践 !
思考,尝试 ....
当然如果你要是有该服务系统的源代码,你还能从代码审计的角度去发现可能存在的逻辑漏洞下面贴一个逻辑漏洞。
(交易系统)任意申贷信用额度
大概的逻辑漏洞就是这么个理,至于为什么这个漏洞我为什么没有本地实践截图,来详细说了?答:我没有存在逻辑漏洞的源码。。。。。。而且我也不会写PHP代码和HTML代码,还有CSS代码,,,,,所以我就没自己弄一个本地的。。。。不过我以后肯定是要把这些语言都过一遍的,毕竟你是搞安全测试的,连原理都复现不了,搞啥子测试啊,回家睡觉吧。。。。
简单的逻辑漏洞就是这么个理,我再贴一个在 FreeBuf 上,一个详细的关于业务逻辑漏洞的原理,大家可以参考下。
print \'右键放大图片,然后再右键点击在新建标签下查看该图片,然后再放大,这样就和原网页一般大了。\'
上图原地址:Web安全测试中常见逻辑漏洞解析(实战篇)
总结:
逻辑漏洞这个说大不大,说小不小,主要看业务涉及的范围,就像上面我贴的知道创宇那个PPT那个,那个危害就很大了。论一个懂安全的程序员,有多重要?