文 档: Web渗透测试之逻辑漏洞挖掘
作 者: hackbar 上海银基信息安全技术股份有限公司
语 言: 中文
标 签 渗透测试 漏洞挖掘 web安全 业务逻辑漏洞 支付安全
介 绍:
  • 1.思考
    • 1.1、利用工具简单
    • 1.2、思路复杂
      • 1.2.1、用户身份:认证
      • 1.2.2、业务流程:对业务的熟悉程度(各种类型的网站、业务模式)
  • 2、逻辑漏洞类型
    • 2.1、支付漏洞
      • 2.1.1、支付漏洞突破口
    • 2.2、密码重置漏洞
      • 2.2.1、密码重置突破口
    • 2.3、任意用户登录
    • 2.4、认证缺陷漏洞
    • 2.5、越权漏洞
    • 2.6、接口枚举
  • 3、案例分享
  • 3.1.1、支付漏洞
  • 3.1.2支付漏洞
  • 3.1.3支付漏洞
  • 3.2.1密码重置漏洞
  • 3.2.2密码重置漏洞
  • 3.2.3密码重置漏洞
  • 3.2.4密码重置漏洞
  • 3.2.5密码重置漏洞
  • 3.3.1任意用户登录漏洞
  • 3.3.2任意用户登录漏洞
援 引: https://xianzhi.aliyun.com/forum/read/1905.html
附件下载
相关推荐
Cisco IOS Router Exploitation
  • Cisco,防火墙,漏洞挖掘
Cisco IOS Router Exploitation 来自BlackHat
蛇噬汝果 - 基于Python的OSX内核漏洞模糊测试挖掘和利用
  • Fuzzing,漏洞挖掘,内核,模糊测试
伊甸园中人类始祖被蛇诱惑吃下禁果,从此分善恶,得智慧。而Python这条蟒蛇作为
移动APP安全漏洞分析技术与方法
  • 移动应用安全,漏洞挖掘,安全测试
#目录 - 移动应用安全背景介绍 - 移动应用漏洞分析工具介绍 - 移动应
Flash 虚拟机内存管理及漏洞利用
  • flash,漏洞挖掘
Hearmen – 北京大学软件安全研究小组成员。   Flash 作为现阶段
渗透测试中的那点⼩事
  • 渗透测试,经验总结
#目录 - 1、自我介绍 && 前言 - 2、dedecms阉割进后台 -
API安全测试的思路与基于Swagger的API自动化安全测试实践
  • 应用安全,API,安全测试,web安全,Swagger
#大纲 - • 由应用安全说起 - • 传统REST API安全测试 -
阅读心得