1.常规漏洞漏洞
逻辑漏洞是指由于程序逻辑不严或逻辑太复杂,导致一些逻辑分支不能够正常处理或处理错误,一般出现在任意密码修改(没有旧密码验证)、越权访问、密码找回、交易支付金额等。
登陆时,是否可以绕过验证码形成撞库
登录处主要存在的点:
返回包中有验证码
返回页面 hidden中有验证码
有些其他登陆url中不需要验证码
验证码不变,验证码没有一个完整的服务请求,只在刷新url时才变
第一次请求包验证了验证码是否正确,第二次请求不需要验证
拦截登录时验证码的刷新请求,第一次验证码未失效,可绕过
验证码和用户名、密码是否一次同时提交
公众号,app无验证
2.暴力破解
2.撞库
3.修改cookie
4.针对session
5.邮箱更改
6.修改商品编号
7.本地js参数修改
8.密码找回漏洞的流程
9.验证码突破