逻辑漏洞 领域.
关注
分享
扫一扫
文章平均质量分 80
学习于 Web 攻防之业务安全 实战指南.
半个西瓜.
这个作者很懒,什么都没留下…
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
Web安全:未验证的重定向和转发.
未验证的重定向和转发漏洞是一种常见的Web安全漏洞,它允许攻击者将用户重定向到一个恶意的URL,而不是预期的安全URL。这种漏洞通常发生在应用程序处理重定向和转发请求时,未能对目标URL进行适当的验证和过滤。原创 2024-07-19 17:26:37 · 1379 阅读 · 0 评论 -
Web 攻防之业务安全:账号安全案例总结.
业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库,中间件等)、业务系统自身(软件或设备)、业务所提供的服务安全;狭义的业务安全指业务系统自有的软件与服务的安全。原创 2023-04-14 16:07:49 · 972 阅读 · 4 评论 -
Web 攻防之业务安全:密码找回安全案例总结.
业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库,中间件等)、业务系统自身(软件或设备)、业务所提供的服务安全;狭义的业务安全指业务系统自有的软件与服务的安全。原创 2023-04-14 17:28:45 · 1701 阅读 · 33 评论 -
Web 攻防之业务安全:Callback自定义测试(触发XSS漏洞)
业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库,中间件等)、业务系统自身(软件或设备)、业务所提供的服务安全;狭义的业务安全指业务系统自有的软件与服务的安全。原创 2023-04-14 16:07:30 · 2029 阅读 · 2 评论 -
Web 攻防之业务安全:接口未授权访问/调用测试(敏感信息泄露)
业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库,中间件等)、业务系统自身(软件或设备)、业务所提供的服务安全;狭义的业务安全指业务系统自有的软件与服务的安全。原创 2023-04-11 20:34:12 · 5253 阅读 · 39 评论 -
Web 攻防之业务安全:密码找回流程绕过测试.(利用链接跳到后面去)
业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库,中间件等)、业务系统自身(软件或设备)、业务所提供的服务安全;狭义的业务安全指业务系统自有的软件与服务的安全。原创 2023-04-11 17:06:12 · 955 阅读 · 0 评论 -
Web 攻防之业务安全:Response状态值修改测试(修改验证码返回值 绕过限制.)
业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库,中间件等)、业务系统自身(软件或设备)、业务所提供的服务安全;狭义的业务安全指业务系统自有的软件与服务的安全。原创 2023-04-11 17:07:30 · 1485 阅读 · 1 评论 -
Web 攻防之业务安全:接口参数账号篡改测试(修改别人邮箱 || 手机号为自己的)
业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库,中间件等)、业务系统自身(软件或设备)、业务所提供的服务安全;狭义的业务安全指业务系统自有的软件与服务的安全。原创 2023-04-11 17:07:54 · 861 阅读 · 2 评论 -
Web 攻防之业务安全:验证码绕过测试.(修改数据包中 res_code 的值 实现绕过.)
业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库,中间件等)、业务系统自身(软件或设备)、业务所提供的服务安全;狭义的业务安全指业务系统自有的软件与服务的安全。原创 2023-04-08 14:50:16 · 4225 阅读 · 76 评论 -
Web 攻防之业务安全:验证码客户端回显测试.
业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库,中间件等)、业务系统自身(软件或设备)、业务所提供的服务安全;狭义的业务安全指业务系统自有的软件与服务的安全。原创 2023-04-08 12:28:14 · 878 阅读 · 4 评论 -
Web 攻防之业务安全:输入 / 输出模块测试.
业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库,中间件等)、业务系统自身(软件或设备)、业务所提供的服务安全;狭义的业务安全指业务系统自有的软件与服务的安全。原创 2023-04-08 00:34:26 · 863 阅读 · 3 评论 -
Web 攻防之业务安全:登录失败信息测试.
业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库,中间件等)、业务系统自身(软件或设备)、业务所提供的服务安全;狭义的业务安全指业务系统自有的软件与服务的安全。原创 2023-04-08 00:32:22 · 971 阅读 · 0 评论 -
Web 攻防之业务安全:支付商品数量篡改 测试.
我们购买东西正常情况下都是要钱的,如果说平台出现了(支付逻辑漏洞.) 那么我们就可以,利用这个漏洞实现 不用钱买任何东西,或者是商家倒贴钱给我们来 购买他的东西.(这不学起来吗?)原创 2022-04-03 11:30:23 · 6534 阅读 · 43 评论 -
Web 攻防之业务安全:越权访问漏洞 测试.
逻辑漏洞之越权 概括:由于没有对用户权限进行严格的判断,导致低权限的账号(比如普通用户)可以去完成高权限账号(比如超级管理员)范围内的操作。(比如:通过更换的某个 ID 之类的身份标识,从而使 A 账号获取(修改、删除等)B 账号数据。 使用低权限身份的账号,发送高权限账号才能有的请求,获得其高权限的操作。 通过删除请求中的认证信息后重放该请求,依旧可以访问或者完成操作)原创 2022-03-23 13:21:47 · 9572 阅读 · 7 评论 -
Web 攻防之业务安全:Session会话注销测试.
业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库,中间件等)、业务系统自身(软件或设备)、业务所提供的服务安全;狭义的业务安全指业务系统自有的软件与服务的安全。原创 2023-04-08 00:32:36 · 1206 阅读 · 0 评论 -
Web 攻防之业务安全:暴力破解 测试.
暴力破解的概括:就是攻击者使用自己的账号和密码作为一个字典,一个一个去尝试,看看是否能够登录成功,因为理论上来讲,只要字典足够庞大,就可以破解成功的!原创 2022-02-05 18:11:12 · 9734 阅读 · 1 评论 -
Web 攻防之业务安全:Session会话固定测试.
业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库,中间件等)、业务系统自身(软件或设备)、业务所提供的服务的安全;狭义的业务安全指业务系统自有的软件与服务的安全。原创 2023-04-08 00:32:06 · 1344 阅读 · 0 评论 -
Web 攻防之业务安全:Cookie仿冒测试
业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库,中间件等)、业务系统自身(软件或设备)、业务所提供的服务的安全;狭义的业务安全指业务系统自有的软件与服务的安全。原创 2023-04-08 00:31:43 · 1124 阅读 · 0 评论 -
Web 攻防之业务安全:本地加密传输测试.
业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库,中间件等)、业务系统自身(软件或设备)、业务所提供的服务的安全;狭义的业务安全指业务系统自有的软件与服务的安全。原创 2023-04-07 22:28:48 · 1020 阅读 · 1 评论 -
Web 攻防之业务安全:验证码自动识别 测试.
验证码安全 概括: 验证码安全 也可以叫《全自动区分计算机和人类的图灵测试》,是一种区分用户是计算机还是人的共全自动程序。可以防止:恶意破解密码、刷票、论坛灌水。可以有效防止黑客对某一个特定用户用特定程序暴力破解方式进行不断的登陆尝试。由于计算机无法解答CAPTCHA的问题,所以回答出问题的用产就可以被认为是人类.原创 2022-04-13 23:34:54 · 2773 阅读 · 64 评论 -
Web 攻防之业务安全:验证码重复使用 || 前端JS代码实现的验证码 测试.
验证码安全 概括: 验证码安全 也可以叫《全自动区分计算机和人类的图灵测试》,是一种区分用户是计算机还是人的共全自动程序。可以防止:恶意破解密码、刷票、论坛灌水。可以有效防止黑客对某一个特定用户用特定程序暴力破解方式进行不断的登陆尝试。由于计算机无法解答CAPTCHA的问题,所以回答出问题的用产就可以被认为是人类.原创 2022-03-31 16:08:54 · 5088 阅读 · 31 评论