Cyber Security-Day11(常见逻辑漏洞)

逻辑漏洞:

1.密码找回(任意手机号注册)

根据 验证码确定用户本人，但是验证码可以暴力破解

2.支付漏洞

 

 以前FD常见漏洞，支付流量支付话费 也可以支付数量 修改为-1 0价格购买

一些游戏的CE读取内存值，可以直接修改，类似于手机的修改器

3.越权

 

 或者更改数据包中的id，或者true false 会员制度，来访问他人的敏感信息或者冒充他人发布信息。

4.cookies和session验证

攻击者在知道用户id的前提下，然后构造一个cookies或者让session的值为true就可以 绕过认证。

5.顺序执行缺陷

攻击者在网购的过程中绕过支付过程，直接从放购物车步骤到填写收货地址的地步，就可以0元购物了，一般是有==这样的判断