逻辑漏洞各种姿势总结

上周参加了360的安全训练营培训–脑洞大开的渗透测试,主讲是PKAV的only_guest。他提到了一个概念,既SQL注入和XSS以后,下一个漏洞的趋势应该是逻辑漏洞了。

(另外还提到了拒绝服务,给出了一个思路——拒绝服务不是DDOS,而是让你的业务无法正常运行,比如让你的验证码系统瘫痪,这对于业务系统就是致命的。)

SQL注入和XSS已经出来很多年,针对防SQL注入的技术越来越成熟,XSS的防御基础也是层出不穷,但是逻辑漏洞现在还没有很好的解决方案。

越来越多的业务上线,都只是经过简单的WEB扫描器而已,检测逻辑漏洞的技能变得越来越重要。

下面是一些乌云上的逻辑漏洞的总结帖子,感觉很好,我也会持续找一些很好的资源更新在这篇文章里面,当然如果你有比较好的也可以推荐给我。

业务安全漏洞挖掘归纳总结

http://drops.wooyun.org/web/6917

代码审计之逻辑上传漏洞挖掘

http://drops.wooyun.org/papers/1957

在线支付逻辑漏洞总结

http://drops.wooyun.org/papers/345

密码找回逻辑漏洞总结

http://drops.wooyun.org/web/5048

应用程序逻辑错误总结

http://drops.wooyun.org/papers/1418

支付漏洞常见三种类型

http://zone.wooyun.org/content/878

金融行业平台常见安全漏洞与防御

http://www.freebuf.com/news/special/61082.html

我的越权之道

http://drops.wooyun.org/tips/727

乌云漏洞——逻辑错误分类

http://www.wooyun.org/bug.php?action=list&subtype=21

APP检测——同学圈

http://mtfly.net/87

哈哈,最后当然是推一下我自己的一个越权检测了。比较简单,很容易理解。

have fun!