一、常见的逻辑漏洞
与session值有关(session值 比如登录错误第一次 第二次 第三次输入错了就锁上了)绕过方法可以跟csrf一样 token值绕过
1、交易支付(修改金额为负数或为o)、密码修改(是否有原密码)、密码找回(1、改数据包跳过步骤 2、用自己的用户身份找回密码,在最后修改密码的时候抓包修改成其它用户 3、修改返回包,把0改成1或false改成true 4、手机号密码找回看一下返回包里面是否有手机验证码、5、邮箱密码找回的时候,试试修改邮箱,用别人的帐号找回,发邮件填写自己的邮箱、6、验证码长度短,纯数字可以直接burp暴破 7、同一验证码可以登录不同帐号 8、验证码纯数字,无时间限止 9、密码找回答案比较简单 或参数判断不严格)、越权修改、越权查询、突破限制等各类逻辑漏洞
2、任意用户注册
3、短信炸弹
4、占用资源(时间)
二、如何挖逻辑漏洞
确定业务流程--->寻找流程中可以被操控的环节--->分析可被操控环节中可能产生的逻辑问题--->尝试修改参数触发逻辑问题
1、交易支付中的逻辑问题
改参数值 比如商品价格 不断发包 抓包 改包 发包
改商品数量 价格 打折 物流是否可以控制运费 确认订单跳转支付接口时是否可以修改支付金额 是否可以不支付直接跳转到交易成功环节
抓包 改商品数量 改价格 发包
2、注册过程可以返回已存在用户的全部信息(数据是同样的在 数据库是可以存储的 比如相同的名字)
3、微信信用卡还款服务可绕过
跳过还款环节 直接交易成功
4、改积分值
5、经典案例:
1)微信任意密码修改
忘记微信密码(问题)
使用手机重设密码(触发)
找回的时候验证码发到别人的手机里 所以关键点在验证码这里
在这里抓包
然后用暴力破解
腾讯有检测机制 做了防御
找突破点 在手机后面加一些不为数字的字符时 可以绕过限制
思路:在有限制的情况下可以加一些字符 比如手机号后面加字符 如果不为数字的时候可以不做限制(同一个手机号找回次数太多被限制 请求过于频繁)
2)支付宝任意密码修改(2017年)
熟人操作 账号登录支付宝 点击忘记密码
选择手机不能接收短信
淘宝买过的东西 9张图片选1个(流程设计有问题,能试到买过的)
3)12306改抢票时间
随便找一个有票的时间,有预定按钮的,抓包拦截,修改时间
4)搜狗浏览器积分商城
随便购买一个东西抓包 修改积分 没有做校验
5)国家电网密码重置
密码=1 永远为真 绕过密码重置
