分享两个常见的业务逻辑漏洞
来源:互联网 发布:abs资产证券化 知乎 编辑:程序博客网 时间:2024/06/14 13:28
0x00前言
最近在对某网站做渗透测试的过程中发现了两个比较典型的逻辑漏洞,一个是通过邮件,一个是借助短信
0x01
注册页面当填写账号或密码存在错误的时候没有进行混淆处理,根据了解该网站大部分注册用户账号为qq邮箱
如此便产生了用户的遍历(工具自动提交,根据返回包长度进行判定)
来到用户密码找回页面,提交已注册的邮箱账号即可向相对邮箱发布重置密码邮件,并且没做时间限制和次数限制
于是,,,该厂商向某用户发送大量垃圾邮件,同时可做CSRF用
0x02
在该注册页面填写手机号接受验证码的位置,提交抓包,可见次数的手机号未进行加密。
使用bs工具自动提交电话本(内含上千电话),所有的验证码都发送成功
没有对同IP发送次数和时间间隔进行限制
于是,,,,存的短信费用瞬间花光
0x03
不说了 我去交钱去 5555555555555!
最近在对某网站做渗透测试的过程中发现了两个比较典型的逻辑漏洞,一个是通过邮件,一个是借助短信
0x01
注册页面当填写账号或密码存在错误的时候没有进行混淆处理,根据了解该网站大部分注册用户账号为qq邮箱
如此便产生了用户的遍历(工具自动提交,根据返回包长度进行判定)
来到用户密码找回页面,提交已注册的邮箱账号即可向相对邮箱发布重置密码邮件,并且没做时间限制和次数限制
于是,,,该厂商向某用户发送大量垃圾邮件,同时可做CSRF用
0x02
在该注册页面填写手机号接受验证码的位置,提交抓包,可见次数的手机号未进行加密。
使用bs工具自动提交电话本(内含上千电话),所有的验证码都发送成功
没有对同IP发送次数和时间间隔进行限制
于是,,,,存的短信费用瞬间花光
0x03
不说了 我去交钱去 5555555555555!
0 0
- 分享两个常见的业务逻辑漏洞
- 业务逻辑漏洞
- 分享一个近期遇到的逻辑漏洞案例
- mvc的业务逻辑
- 业务逻辑的概念
- 领域逻辑与业务逻辑的关系
- 业务逻辑层的模式
- 应对复杂的业务逻辑
- 业务逻辑层的思考
- 理解登陆的业务逻辑
- 常见的编辑器漏洞
- 常见的网站漏洞
- 常见的网站漏洞
- 什么是业务逻辑层(业务层)及业务逻辑层(业务层)的功能
- app复杂业务逻辑自动化验证案例分享
- 业务逻辑
- 业务逻辑
- 业务逻辑
- 打造完善的公益模式,映客如何诠释直播企业的社会责任
- html标签之Object和EMBED标签详解
- SpringMVC中使用@RequestBody,@ResponseBody注解实现Java对象和XML/JSON数据自动转换(下)
- jvm调优
- 坠小二叉堆的一些方法
- 分享两个常见的业务逻辑漏洞
- java中数据在内存中的存储详解
- 《高维数据的聚类分析研究及其应用》读书笔记
- 【Java学习之代码学习】 Prog25_求闰年个数的问题
- 《机器学习导论》和《统计机器学习》学习资料:张志华教授
- 实现网页图片不断闪烁
- 打造完善的公益模式,映客如何诠释直播企业的社会责任
- JAVA内存区域
- 几何画板演示正方形拼凑过程的教程