码迷,mamicode.com
首页 > 其他好文 > 详细

业务逻辑漏洞挖掘随笔【信息一致性安全篇】

时间:2017-08-12 16:10:49      阅读:140      评论:0      收藏:0      [点我收藏+]

标签:遍历   邮箱   参数   抓包   身边   漏洞   一致性   页面   员工   

继续~

1 手机号篡改

  场景一:抓包修改手机号码参数为其他号码尝试,例如在办理查询页面,输入自己的号码然后抓包,修改手机号码参数为其他人号码,查看是否能查询其他人的业务。

  场景二:在测试一个业务的时,第一步输入别人的邮箱验证该邮箱是否存在。第二步输入手机号的时候随便填一个手机号,抓包修改成自己的。结果短信验证码就发到自己的手机上了。

2 邮箱或者用户篡改

  场景一:抓包修改用户或者邮箱参数为其他用户或者邮箱,类似上文说的手机号篡改。

3 订单id,编号等篡改

  场景一:查看自己的订单id,然后修改id(加减一)查看是否能查看其它订单信息。说白了,利用修改编号越权查看他人的信息。

  场景二:在内网中碰到过,修改id删除他人的发布的留言,公告,文章等

5 用户id篡改

  简单了,越权查看。某学*网不就出现过用户信息遍历。

  在身边某流弊游戏企业,之前挖到该乖哦跟你说一个遍历全体员工信息的漏洞。那段时间刚好碰到乌云关闭= =

 

关键就在于细心,特别是参数较多的时候。沉下心来对可能存在的参数一一测试。

 

业务逻辑漏洞挖掘随笔【信息一致性安全篇】

标签:遍历   邮箱   参数   抓包   身边   漏洞   一致性   页面   员工   

原文地址:http://www.cnblogs.com/landuo11/p/7350445.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!