业务逻辑漏洞
2022/2/15 6:11:47
本文主要是介绍业务逻辑漏洞,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
未授权访问
1. 直接通过修改响应码的状态来绕过登录进行未授权访问。
2. 直接访问链接绕过登录限制。
修改响应码登录
常见响应码:200、000000、true、0、success、ok、1
或者可以直接在js文件中找到响应码。
出现修改响应码登录是因为:
(1). 后端未作验证,修改状态码就可以直接绕过登录限制,
(2). 后端虽然做了限制,修改状态码后任然会显示后台页面,或者泄露后台部分的功能接口。
url直接访问
通过目录扫描,端口收集,就可以直接进行未授权访问。也可以用JSFinder工具,
身份信息/登录信息伪造
通过修改url和响应包中的鉴权参数,来绕过登录限制,直接登录高权限账户。
修改id、username、login、session、cookie、token等参数。
这篇关于业务逻辑漏洞的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-05-29DataGrip使用ssh连接数据库的操作流程
- 2024-05-28SpringBoot3.2更新声明!
- 2024-05-28中外程序员到底有啥区别?
- 2024-05-25外企也半夜发布上线吗?
- 2024-05-24鸿蒙原生应用再新丁!芒果TV 入局鸿蒙
- 2024-05-22基本概念
- 2024-05-22检索数据
- 2024-05-22排序数据
- 2024-05-22基础过滤数据
- 2024-05-22通过逻辑操作符过滤数据