本文最后更新于 2024-07-26,文章内容可能已经过时。

逻辑漏洞概述

免责声明

⚠特别说明:此教程为纯技术教学!严禁利用本教程所提到的漏洞和技术进行非法攻击,本教程的目的仅仅作为学习,
决不是为那些怀有不良动机的人提供技术支持!也不承担因为技术被滥用所产生的连带责任!⚠

逻辑漏洞

逻辑漏洞是因为程序员在编写程序的时候,随着人的思维逻辑产生的不足而生成的漏洞,与传统漏洞的漏洞的不同在于逻辑漏洞是用过合法的方式来达到破坏效果的,比如密码找回,用户登录验证等功能由于程序设计的不足,会产生很多问题,这一类的漏洞一般的防护手段或者设备无法阻止,漏洞扫描器也难以发现。

逻辑漏洞形成原因:

程序逻辑不严或者逻辑太复杂,导致一些逻辑分支不能够正常或处理错误,一般出现在任意密码修改(没有旧密码认证),越权访问,密码找回,交易支付金额,身份证认证,实名认证等。

image-20231228134316923

逻辑漏洞分类:

1.url跳转漏洞

2.短信轰炸

3.任意密码修改漏洞

4.任意用户登录漏洞

5.越权漏洞

6.支付逻辑漏洞

7.条件竞争漏洞

逻辑漏洞场景

01:

逻辑漏洞应用场景:逻辑漏洞的挖掘,大部分出现在我们的互联网等大企业上面,特别是义务越多,逻辑混乱的可能性就越大,与传统的漏洞挖掘不同,逻辑漏洞需要的跟多是细心,还有对业务的熟练程度,以及知识面的场景,逻辑漏洞里面最经典的一句话就是:挖不到漏洞咋办?那就瞎想,瞎试。

除了常规的思路,还有更多的就是自己对于业务的思考,逻辑漏洞更多的使用范围是大型的互联网公司项目。