邏輯漏洞原理

邏輯漏洞是：

• 網站開發人員再建設網站的時候，由於驗證不嚴格，造成的bug。

邏輯漏洞隱患：

• 1、任意用戶重置密碼

• 2、提權/越權

• 3、任意金額購買

• 4、驗證碼繞過

提權

• 查看用戶訂單信息
• 登錄->常看個人訂單信息
• 每個訂單都有一個id
• Xxxxx.com/dingdan/show.php?id=11231512
• Xxxxx.com/dingdan/show.php?id=11231513
• 可以通過bp抓包修改id登錄路一樣的賬號並且密碼可以不同

• 查看用戶個人信息

• 任意賬號登錄

越權

• 剋通過後臺管理，用普通用戶提權到管理員頁面，驚醒修改普通用戶信息。

任意金額購買

• 選擇商品   -> 發起訂單請求 -> 服務器確認訂單 ->   生成支付接口（1000元） ->發送給前端  -> 用戶支付->銀行返回支付成功->訂單完成。

• 通過bp，在支付1000元時抓包，然後通過修改金額，使用戶可以修改價格購買商品。

案例：

手機號：	bp抓包，嘗試修改手機號，將驗證碼發送到自己的手機
郵件：	先自己註冊一個用戶，點擊重置， 分析郵件中的連接 不加密，加密策略太弱