邏輯漏洞簡單的分析
邏輯漏洞這個是很常見的,一些新出來的服務軟體啊,服務類型的網站,還有一些電商平台,等等。
為什麼這麼說了?邏輯漏洞最多被攻擊的當屬業務系統了,一些不涉及到業務的邏輯漏洞,那這個漏洞最多算個小彩蛋,就像一些遊戲當中,打某個關卡時,必須卡 bug 才能通過。
說一個前些日子剛剛發生的事,支付寶密碼找回邏輯漏洞,相信你肯定聽說過,只要是熟人就能改你的密碼,或者知道你的個人一些信息的也可以改,這個是不是就很危險了?
我又為什麼說這個邏輯漏洞很常見的?因為程序本身都是程序員自己設計的,所以人嗎,總會出現一些小錯誤的,尤其是業務系統特別長的時候,肯定會出現一些小的邏輯漏洞,如果一些別有用心的人,利用了,那後果還是很危害很大的。
正文開始:
邏輯樓漏洞本身主要被利用於業務系統系列。
# 以下的圖,我都是收集的知道創宇某個安全專員的某次大會講解時的PPT。
正如上圖所列的,只是一些常見的邏輯漏洞,還有很多沒有列出來,但是就是這些常見的業務邏輯漏洞,如果利用起來,對本公司來說,這是多大的損失?
那我們該如何去發現這個邏輯漏洞了?對,沒錯! 思考 ! 實踐 !
思考,嘗試 ....當然如果你要是有該服務系統的源代碼,你還能從代碼審計的角度去發現可能存在的邏輯漏洞下面貼一個邏輯漏洞。
(交易系統)任意申貸信用額度
大概的邏輯漏洞就是這麼個理,至於為什麼這個漏洞我為什麼沒有本地實踐截圖,來詳細說了?答:我沒有存在邏輯漏洞的源碼。。。。。。而且我也不會寫PHP代碼和HTML代碼,還有CSS代碼,,,,,所以我就沒自己弄一個本地的。。。。不過我以後肯定是要把這些語言都過一遍的,畢竟你是搞安全測試的,連原理都復現不了,搞啥子測試啊,回家睡覺吧。。。。簡單的邏輯漏洞就是這麼個理,我再貼一個在 FreeBuf 上,一個詳細的關於業務邏輯漏洞的原理,大家可以參考下。
print 右鍵放大圖片,然後再右鍵點擊在新建標籤下查看該圖片,然後再放大,這樣就和原網頁一般大了。
上圖原地址:Web安全測試中常見邏輯漏洞解析(實戰篇)
總結:
邏輯漏洞這個說大不大,說小不小,主要看業務涉及的範圍,就像上面我貼的知道創宇那個PPT那個,那個危害就很大了。論一個懂安全的程序員,有多重要?
推薦閱讀:
※哪家公司的漏洞獎勵最高?
※如何將漏洞CVE-2017-1000112應用到其他內核上
※macOS root賬戶登錄憑據驗證錯誤(CVE-2017-13872)漏洞分析