前提
之前去b站看了一些关于逻辑漏洞的介绍,然后总结一部分(本人小白一枚,正在努力学习中)
主要的常见类型
登录缺陷和账户认证缺陷
验证码回传
未进行登录凭证验证
验证码**
未授权访问
。。。
会话管理缺陷
固定会话攻击
修改cookie中的某个参数可以登录其他用户(cookie仿冒)
权限管理缺陷
未授权权限访问
越权:1.水平越权、2.垂直越权
水平越权:相同权限的用户可以互相访问
垂直越权:低用户可以访问到高用户
支付逻辑缺陷
API滥用
验证码**
短信轰炸
无限充值
用户添加等。。。
1.业务接口调用:
·重放攻击
·恶意注册
·短信炸弹
