0xx1 邏輯漏洞
介紹指攻擊者利用業務的設計缺陷,獲取敏感資訊或破壞業務的完整性,一般出現在密碼修改,越權訪問,密碼找回,交易支付金額等功能處,其中,越權訪問又有水平越權和垂直越權兩種
水平越權:相同級別(許可權)的使用者或者同一角色中不同使用者之間,可以越權訪問,修改或者刪除其他使用者的資訊的非法操作
垂直越權:不同級別之間使用者或不同角色之間使用者的越權,如普通使用者獲取管理員許可權
常見的邏輯漏洞
訂單支付:在支付訂單時,可以篡改金額等,導致總金額降低
越權訪問:訪問他人資訊或操縱他人賬號
重置密碼:重置密碼時,存在多種操作漏洞,如利用session覆蓋重置密碼,簡訊驗證碼直接返回在資料報中等
競爭條件:使用多執行緒同時購買兩款商品可能出現以下幾種結果
有一件商品購買失敗
商品都購買成功,只付了一件商品價錢
商品都購買成功,金額變為負數
常見埠資訊 WEB安全攻防讀書筆記
21.22.69 ftp tftp檔案傳輸協議 2049 nfs服務 139 samba服務 389 ldap目錄訪問協議 22埠 ssh遠端連線 23埠 telnet遠端連線 3389埠 rdp遠端桌面連線 5900埠 vnc 5632埠 pyanywhere服務 80.443.8080 web服...
web安全攻防要點
graph lr web安全攻防要點 客戶端指令碼安全 客戶端指令碼安全 瀏覽器安全 客戶端指令碼安全 跨站指令碼攻擊xss 跨站指令碼攻擊xss 反射型 跨站指令碼攻擊xss 儲存型 跨站指令碼攻擊xss dom型 客戶端指令碼安全 跨站點偽造csrf 客戶端指令碼安全 點選挾持clickjack...
Web安全攻防筆記 SQL注入
information schema mysql5.0版本之後,mysql資料庫預設存放乙個information schema資料庫 information schema的三個表 schemata 該表中的字段schema name儲存該使用者建立的所有資料庫的庫名。tables 該表中的字段ta...