码迷,mamicode.com
首页 > 其他好文 > 详细

一次SRC实战 逻辑漏洞

时间:2020-03-31 21:00:24      阅读:224      评论:0      收藏:0      [点我收藏+]

标签:输入   图片   常见   验证   存在   png   抓包   技术   程序   

逻辑漏洞

逻辑漏洞是指由于开发者不够严谨,导致程序在处理用户参数的过程中在逻辑上出现漏洞

常见逻辑漏洞

  • 任意用户注册
  • 短信轰炸、邮箱轰炸
  • 密码重置绕过验证
  • 订单价格修改
  • 接口枚举
  • 登录凭证绕过

实战

打开页面发现有用户注册和登录功能
我们先注册一个账号,在邮箱验证处用burp抓包重放看看可否绕过验证码
技术图片
发现返回的数据中有6位数字,疑似验证码
技术图片
我们使用这6位数字注册成功,存在任意用户注册漏洞
技术图片
登录处有忘记密码功能,之前用户注册发现返回包中直接包含了验证码,忘记密码处是否也能直接绕过呢
技术图片
继续抓包重放,返回包含有6位数字,输入之,发现重置密码成功
技术图片
技术图片

一次SRC实战 逻辑漏洞

标签:输入   图片   常见   验证   存在   png   抓包   技术   程序   

原文地址:https://www.cnblogs.com/g0udan/p/12608067.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!