参考答案1
越权访问(Vertical/Horizontal):
场景:普通用户通过修改URL参数(如`user_id=123`)访问他人账户或管理员功能。
修复:服务端校验用户权限,避免依赖客户端传参。
参考答案2
答题人(黄金)
逻辑漏洞是指由于程序逻辑设计不当而导致的安全漏洞。比如,某商城在结算时存在逻辑漏洞,攻击者可以通过修改快递费用为负数来实现0元购买商品。这种漏洞往往是由于程序没有对输入数据进行严格的验证和处理而导致的。
参考答案3
密码重置漏洞就是一个典型的逻辑漏洞。密码重置漏洞主要是绕过某种身份验证,然后允许用户修改密码。
例如:有些网站,表示身份的信息会通过响应报文给浏览器,我们可以抓包修改绕过限制,进入到修改密码的
步骤进行密码修改。有些网站的身份信息使用手机接收的验证码表示,但是手机与用户身份没有绑定,
可以换手机号接收表示身份的验证码
返回列表