中文亚洲精品无码_熟女乱子伦免费_人人超碰人人爱国产_亚洲熟妇女综合网

當(dāng)前位置: 首頁 > news >正文

開發(fā)網(wǎng)站公司收費(fèi)2020年十大關(guān)鍵詞

開發(fā)網(wǎng)站公司收費(fèi),2020年十大關(guān)鍵詞,天津網(wǎng)站建設(shè)案例展示,山東省住房與城鄉(xiāng)建設(shè)網(wǎng)站業(yè)務(wù)邏輯漏洞 掃描器掃不出來 漏洞包括 暴力破解任意用戶/密碼登陸短信/郵箱轟炸驗(yàn)證碼繞過/爆破/重放/回傳用戶名/手機(jī)號枚舉(用戶名枚舉:當(dāng)用戶登錄時(shí),顯示用戶名不存在,或密碼不正確,兩個其中一個不正確就稱為用戶名枚舉)越…

業(yè)務(wù)邏輯漏洞

掃描器掃不出來

漏洞包括

  • 暴力破解
  • 任意用戶/密碼登陸
  • 短信/郵箱轟炸
  • 驗(yàn)證碼繞過/爆破/重放/回傳
  • 用戶名/手機(jī)號枚舉(用戶名枚舉:當(dāng)用戶登錄時(shí),顯示用戶名不存在,或密碼不正確,兩個其中一個不正確就稱為用戶名枚舉)
  • 越權(quán)登陸(例如修改數(shù)據(jù)包中用戶 ID)
  • 商品金額/數(shù)量篡改
  • 整數(shù)溢出
  • 登錄業(yè)務(wù)邏輯漏洞

整數(shù)溢出

int(申請內(nèi)存空間,內(nèi)存空間最大值為 2147483647) 。

當(dāng)最大值+1時(shí)就會溢出

image-20231127143628932

// xiu.cpp : Defines the entry point for the console application.
#include "stdafx.h"
int main(int argc, char* argv[])
{	unsigned int a=2147483647;printf("%d",a+1);getchar();return 0;
}

溢出后就造成業(yè)務(wù)邏輯

例如:有金額的購物平臺、一分錢買冰箱,寵物、娃娃機(jī)等。

登錄業(yè)務(wù)邏輯漏洞

image-20231127164406842

驗(yàn)證碼繞過

判斷前后端驗(yàn)證:

  • 利用彈窗,有可能是前端驗(yàn)證
  • 利用斷網(wǎng),如果出現(xiàn)彈窗,可能會是前端驗(yàn)證

在pikachu靶場為例

image-20231127172219663

前端驗(yàn)證(Client)

輸入用戶名、密碼、驗(yàn)證碼,點(diǎn)擊login

image-20231127172619633

正確輸入驗(yàn)證碼就會顯示正確的響應(yīng) username or password is not exists~

在bp中查看歷史記錄post,并發(fā)送到repeater

image-20231127172723511

在response中查找正確的響應(yīng)username or password is not exists~

image-20231127174249117

刷新頁面,驗(yàn)證碼改變,但在原有的驗(yàn)證碼中,還是可以成功的發(fā)送正確的響應(yīng)

image-20231127174856119

當(dāng)刪除驗(yàn)證碼時(shí),也可以收到顯示正確的響應(yīng)

image-20231127175454479

總結(jié)

驗(yàn)證碼可以重復(fù)使用、還可以刪除驗(yàn)證碼。

后端驗(yàn)證(Server)

輸入正確的驗(yàn)證碼

image-20231127182408523

在bp里查看歷史記錄POST,將它發(fā)送到repeart

image-20231127182347895

發(fā)現(xiàn)response沒有顯示正確的響應(yīng)

image-20231127182320619

將正確的驗(yàn)證碼輸入在request中,發(fā)現(xiàn)response顯示了正確的響應(yīng)

image-20231127182615170

總結(jié)

網(wǎng)頁驗(yàn)證碼不動,在服務(wù)器中輸入驗(yàn)證碼。

驗(yàn)證碼爆破

四個數(shù)字的驗(yàn)證碼,驗(yàn)證碼有效期為五分鐘找回密碼的功能

越權(quán)漏洞

垂直越權(quán):非管理員可以登錄管理員用戶,并在其中可以刪除用戶帳戶

水平越權(quán):一名員工可以訪問其他員工以及自己的記錄

挖掘業(yè)務(wù)邏輯漏洞

四個數(shù)字的驗(yàn)證碼,驗(yàn)證碼有效期為五分鐘找回密碼的功能

越權(quán)漏洞

垂直越權(quán):非管理員可以登錄管理員用戶,并在其中可以刪除用戶帳戶

水平越權(quán):一名員工可以訪問其他員工以及自己的記錄

挖掘業(yè)務(wù)邏輯漏洞

有金額的、用計(jì)算機(jī)計(jì)算超過2147483647的,利用小的購物平臺就可以挖到業(yè)務(wù)邏輯漏洞。

http://www.risenshineclean.com/news/54199.html

相關(guān)文章:

  • 學(xué)生做兼職哪個網(wǎng)站廣州網(wǎng)站營銷seo
  • 電腦如何下載網(wǎng)頁視頻文件長沙網(wǎng)站seo推廣公司
  • 騰訊云服務(wù)器學(xué)生濟(jì)南seo排行榜
  • 整站seo包年費(fèi)用網(wǎng)站seo運(yùn)營
  • 做網(wǎng)站發(fā)票windows優(yōu)化大師好用嗎
  • 茶葉網(wǎng)站建設(shè)策劃書ppt推廣平臺網(wǎng)站有哪些
  • 萬網(wǎng)的怎么做網(wǎng)站地圖搜索網(wǎng)站排名
  • 北京密云住房和城鄉(xiāng)建設(shè)委員會網(wǎng)站seo網(wǎng)絡(luò)推廣排名
  • 綿陽做網(wǎng)站的有哪些免費(fèi)注冊網(wǎng)站有哪些
  • 管理網(wǎng)站用什么系統(tǒng)好云搜索網(wǎng)頁版入口
  • 莆田做網(wǎng)站公司營銷推廣渠道有哪些
  • 做網(wǎng)站一定需要服務(wù)器嗎快速排名seo
  • WordPress網(wǎng)站注冊賬戶百度超級鏈
  • 十大免費(fèi)行情軟件在線觀看長春最專業(yè)的seo公司
  • 自己做網(wǎng)站建設(shè)制作常見網(wǎng)絡(luò)營銷推廣方法
  • 設(shè)計(jì)師常用的圖片網(wǎng)站港港網(wǎng)app下載最新版
  • java eclipse mysql 網(wǎng)站開發(fā)百度平臺商家app下載
  • 不用購買域名做網(wǎng)站河南鄭州最新消息今天
  • 網(wǎng)站如何做好優(yōu)化品牌營銷成功案例
  • 廣州市司法職業(yè)學(xué)校網(wǎng)站seo是干什么的
  • wordpress 在哪里注冊網(wǎng)站優(yōu)化服務(wù)
  • 贛州網(wǎng)站設(shè)計(jì)重慶網(wǎng)站seo診斷
  • 黃岡商城網(wǎng)站制作哪家好海南快速seo排名優(yōu)化
  • 曰本真人做爰免費(fèi)網(wǎng)站近期熱點(diǎn)新聞事件
  • 昆山企業(yè)網(wǎng)站建設(shè)公司淘客推廣
  • 獨(dú)立ip網(wǎng)站建設(shè)農(nóng)產(chǎn)品網(wǎng)絡(luò)營銷
  • 贛州網(wǎng)站制作培訓(xùn)百度一下免費(fèi)下載
  • 做一手房產(chǎn)中介用什么網(wǎng)站好成都網(wǎng)站建設(shè)seo
  • 免費(fèi)企業(yè)網(wǎng)站 優(yōu)幫云武漢建站優(yōu)化廠家
  • 高新西區(qū)網(wǎng)站建設(shè)廣安seo外包