1、授权安全
垂直越权:不同权限级别的用户互相越权,例如普通用户通过修改参数访问管理员权限。
(图片来源网络,侵删)
水平越权:相同权限级别的用户互相越权,例如在线购物平台中,用户A通过修改订单id查看用户B的订单信息。
2、验证码安全
验证码暴力破解:验证码字符过短或更新时间过长,未做验证次数限制,导致黑客可以对验证码进行爆破。
验证码复用:开发人员忘记注销session中的验证码,导致攻击者可重复利用同一个验证码进行业务爆破。
绕过验证:在客户端进行输入时,将校验结果作为参数发送至服务器,或通过修改前端语言绕过验证。
(图片来源网络,侵删)
流程控制绕过:程序员在编写验证程序时,验证结果返回到客户端,由客户端根据服务端提供的验证结果进行下一步操作,攻击者可以通过篡改验证结果或直接执行下一步操作实现绕过。
3、业务数据篡改
金额数据篡改:在客户端抓包修改金额,订单等字段数值为任意数额,如将金额修改为1元购买商品。
商品数量篡改:在发送购买请求时,抓包修改商品数量等字段,将请求中的商品数量修改成指定数额并提交。
4、重放攻击
(图片来源网络,侵删)
重放攻击:攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。
5、批量注册
批量注册:因目标对于在注册方面的相关流程不严谨,导致可以通过抓包工具来获得用户注册的请求包,并进行相关修改,并直接注册成功。
逻辑漏洞是网络安全中的一个重要问题,需要开发者和安全专家共同努力,通过严格的代码审查、安全测试和用户教育来减少这类漏洞的发生。
各位小伙伴们,我刚刚为大家分享了有关逻辑漏洞的类型的知识,希望对你们有所帮助。如果您还有其他相关问题需要解决,欢迎随时提出哦!
本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/80348.html
