逻辑漏洞该怎么挖


发现错别字 1周前 提问
回答
1
浏览
24
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!
回答数量: 1
等保中级测评师 CICSA WASPCSSP CISP-Auditor

1.登陆

  • 登陆处一般会出现
  • 无验证码可爆破
  • 验证码登陆爆破(4位,或长期有效)
  • 验证码登陆绕过
  • 验证码在返回包
  • 短信轰炸
  • 邮箱轰炸
  • sesslon覆盖
  • 万能密码
  • post注入
  • xss

2.注册

  • 任意用户注册
  • 注册覆盖
  • 验证码在返回包
  • 短信轰炸
  • 邮箱轰炸
  • xss

    3.密码找回

  • 任意用户密码重置
  • 密保问题在前端源码
  • 验证码爆破
  • 手机号码篡改为自己的接收短信验证码
  • 邮箱篡改为自己的接收短信验证码

    4.会员系统(报名系统)

  • 用户越权访问
  • 订单越权查看修改
  • 收货地址越权查看修改
  • 资料越权查看修改
  • 换绑手机号码短信轰炸
  • 水平垂直越权
  • 接口查询
  • 数据泄露
  • 文件上传
  • 资料处xss
  • csrf

    5.支付系统

  • 商品价格修改
  • 优惠卷数量修改
  • 折扣修改
  • 商品数量修改
  • 支付金额修改
  • 积分修改
  • 收货地址越权遍历
  • 订单查看
  • 备注处xss
  • 支付成功订单重放
  • 优惠数量限制突破
1周前 / 评论