为了祖国的未来,快来关注我们吧
逻辑漏洞
逻辑漏洞挖掘一直是安全测试中“经久不衰”的话题。相比SQL注入、XSS漏洞等传统安全漏洞,现在的攻击者更倾向于利用业务逻辑层的应用安全问题,这类问题往往危害巨大,可能造成了企业的资产损失和名誉受损,并且传统的安全防御设备和措施收效甚微。
很多中小型的购物网站都存在这个漏洞。在提交订单的时候抓取数据包或者直接修改前端代码,然后对订单的金额任意修改。
操作步骤:
打开万能的burp,点击立即购买
成功拦截到数据,第一个为数量,第二个为金额,第一个我改为4,第二个我改成0,forward提交
额,修改的并不是数量,也不知道是什么东西,总之金额是修改了
点击提交订单,成功购物
这样,我们就利用逻辑漏洞成功实现免费购物
领取专属 10元无门槛券
私享最新 技术干货