- 博客(10)
- 收藏
- 关注
RSS订阅原创 逻辑漏洞之支付
支付逻辑安全测试主要涉及支付流程的深度解析、数据篡改攻击向量分析及高级漏洞挖掘技术。测试要点包括:熟悉支付流程(商品选择、订单生成、支付处理、状态更新),分析核心参数篡改风险(价格、数量、折扣等),掌握支付漏洞挖掘方法(数据包分析、多维度测试策略),以及高级攻击手法(优惠券逻辑漏洞、越权支付、金融精度攻击)。安全修复需后端参数校验、支付金额验证、数字签名防护等措施。文章推荐了相关技术复盘资源。
2025-06-09 13:06:39
1278
原创 密码重置逻辑漏洞
摘要:密码重置功能存在多种逻辑漏洞,主要测试方法包括熟悉业务流程和分析HTTP请求。常见漏洞类型包括重定向漏洞、响应包篡改/步骤跳过、验证码回显/爆破、Token篡改、邮箱劫持等。通过工具抓包和参数分析,可发现未严格校验的跳转地址、可修改的验证状态或弱验证码等安全隐患。建议使用Burp Suite等工具自动化检测Token随机性和验证码强度,并参考相关技术文章加强防护措施。(149字)
2025-06-08 14:37:15
1280
原创 OAuth2.0授权框架安全问题
OAuth2.0是一种开放标准的授权框架,允许用户授权第三方应用访问其资源而无需共享密码。常见授权类型包括授权码模式和隐式授权。授权码模式需先获取授权码再交换令牌,安全性较高;隐式授权则直接返回令牌,但安全性较低。在安全方面,可能存在认证绕过、SSRF、CSRF漏洞以及scope篡改等风险。测试方法包括验证第三方平台绑定流程是否存在账号接管漏洞。开发者应严格验证访问令牌、校验scope参数并防范CSRF攻击。
2025-06-06 17:21:47
1008
原创 PHP反序列化原生类漏洞利用
PHP原生类是指PHP语言内置的、无需额外安装或引入即可直接使用的类(达到条件自动触发,无需开发者自己编写)。这些类是PHP核心功能的一部分,提供了各种基础功能的面向对象实现。PHP原生类提供了强大的内置功能,开发者可以直接使用这些类而无需重新发明轮子。
2025-05-28 16:06:05
1235
原创 xxe漏洞详解
XXE漏洞XML External Entity Injection,即xml外部实体注入漏洞:XXE漏洞发生在应用程序解析XML输入时,没禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网扫描、攻击内网等危害。
2025-05-23 20:44:31
1038
原创 SQL注入
1.数字型, 不加引号2.字符型, 加单引号或者双引号,3.搜索型like 带和引号%’4.xx型I vince’) vince") vince’)) vince"))
2025-04-27 17:10:42
1041
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人