逻辑漏洞归纳总结

Web安全渗透方向,三大核心:输入输出、登录体系、权限认证。
典型的web漏洞:注入、跨站、上传、代码执行等属于输入输出这个层级,这也是OWASP早期比较侧重的;近年来,像越权漏洞、逻辑绕过、接口安全等逐渐增多,这些属于登录体系和权限认证这个层级。

业务逻辑漏洞主要包括以下分类:
1.登录体系安全
2.业务一致性
3.业务数据篡改
4.密码找回
5.验证码突破
6.会话权限
7.数据重放
8.接口安全



Drops细节参见http://blog.sina.com.cn/s/blog_d7058b150102vpaw.html
时隔多年,逻辑漏洞也该更新利用姿势了…

sm0nk 原创文章,原文发布在drops.wooyun.org/web/6917(致我们已逝去的乌云)