Raye's Journey
·
逻辑漏洞学习总结(一)
原文中文,约1100字,阅读约需3分钟。
📝
内容提要
本文总结了常见逻辑漏洞及解决方案,分享实战经验和思路。
🎯
关键要点
-
总结了常见逻辑漏洞及解决方案,分享实战经验和思路。
-
任意密码找回和任意手机号修改的经典流程涉及验证原有手机号或密码,若绕过验证可任意修改。
-
并发抽奖和签到问题可通过多次重放来累计登录天数,解决办法是使用CAS操作保证同步。
-
前端JS中隐藏接口和js source map文件可能存在漏洞,复杂的登录态设计可能导致安全隐患。
-
报错页面可能泄露敏感信息,常见于CTF中通过报错实现模板注入。
-
使用Google hacking语法可以找到许多站点进行漏洞测试,特别是支付功能相关的站点。
-
若发现通用漏洞,可编写POC集成到xray或其他被动扫描工具中。
🏷️
