Burpsuite-业务逻辑测试

业务逻辑漏洞
由于程序逻辑不严谨或逻辑太过于复杂,导致一些逻辑分支不能正常处理或处理错误,统称为业务逻辑漏洞。
逻辑漏洞挖掘一直是安全测试中经久不衰的话题。相比SQL注入、XSS漏洞等传统安全漏洞,现在的攻击者更倾向于利用业务逻辑层的应用安全问题,这类问题往往危害巨大,并且传统的安全防御设备和措施收效甚微。

一、互联网行业

  1. 登录存在的业务逻辑漏洞
    暴力破解用户名和密码 撞库 验证码绕过和爆破 手机号撞库 账户权限绕过
  2. 注册存在的业务逻辑漏洞
    恶意用户批量注册 恶意验证注册账户 存储型XSS
  3. 密码找回中的业务逻辑漏洞
    重置任何用户账号密码 批量重置用户密码 新密码劫持 短信验证码劫持 用户邮箱劫持篡改
  4. 后台管理中的业务逻辑漏洞
    管理员用户名密码绕过 目录遍历
  5. 会员系统中的业务逻辑漏洞
    用户越级访问 个人资料信息泄露 个人资料遍历
  6. 传输过程中的业务逻辑漏洞
    COOKIE注入 COOKIE跨站 COOKIE劫持 明文传输
  7. 评论中的业务漏极漏洞
    POST注入 CSRF 存储型XSS 遍历用户名

二、主要看以下情况

  1. 验证码绕过

  2. 支付漏洞

  3. 越权遍历

posted @ 2021-10-09 12:56  不听不听王八念经  阅读(118)  评论(0编辑  收藏  举报