0x01 互联网行业
| 通用业务模块 | 业务逻辑漏洞 |
|---|---|
| 登录 | 暴力破解 撞库 验证码爆破和绕过 账户权限绕过 |
| 注册 | 存储型xss 批量注册 任意用户注册 |
| 密码找回 | 重置任意用户密码 新密码劫持 短信验证码劫持 用户邮箱劫持篡改 |
| 后台管理 | 管理员用户密码绕过 目录遍历、下载 |
| 会员系统 | 用户越权访问 个人资料信息泄露、遍历 |
| 评论 | POST注入 CSRF 存储型xss 上传漏洞 越权发布 |
| 传输过程 | cookie注入 明文传输 cookie劫持 |
0x02 P2P金融行业
| 通用业务模块 | 业务逻辑漏洞 |
|---|---|
| 登录 | 暴力破解 撞库 验证码爆破和绕过 账户权限绕过 |
| 注册 | 存储型xss 批量注册 任意用户注册 |
| 密码找回 | 重置任意用户密码 新密码劫持 短信验证码劫持 用户邮箱劫持篡改 |
| 购买支付 | 商品金额篡改 商品数量篡改 交易信息泄露 |
| 充值 | 虚假充值金额 充值数量篡改 篡改充值账户 |
| 抽奖/活动 | 盗取活动奖品 盗刷积分 抽奖作弊 |
| 优惠卷/代金卷 | 批量刷优惠卷/代金卷 更改代金卷金额 更改优惠卷数量 |
| 订单 | 订单信息泄露 用户信息泄露 订单遍历 |
| 账户 | 账户绕过 账户余额盗取 账户绑定手机号绕过 |
| 评论 | POST注入 CSRF 存储型xss 上传漏洞 越权发布 |
| 会员系统 | 用户越权访问 个人资料信息泄露、遍历 |
| 传输过程 | cookie注入 明文传输 cookie劫持 |
0x03 电商行业
| 通用业务模块 | 业务逻辑漏洞 |
|---|---|
| 登录 | 暴力破解 撞库 验证码爆破和绕过 账户权限绕过 |
| 注册 | 存储型xss 批量注册 任意用户注册 |
| 密码找回 | 重置任意用户密码 新密码劫持 短信验证码劫持 用户邮箱劫持篡改 |
| 购买支付 | 商品金额篡改 商品数量篡改 交易信息泄露 |
| 充值 | 虚假充值金额 充值数量篡改 篡改充值账户 |
| 抽奖/活动 | 盗取活动奖品 盗刷积分 抽奖作弊 |
| 优惠卷/代金卷 | 批量刷优惠卷/代金卷 更改代金卷金额 更改优惠卷数量 |
| 订单 | 订单信息泄露 用户信息泄露 订单遍历 |
| 账户 | 账户绕过 账户余额盗取 账户绑定手机号绕过 |
| 评论 | POST注入 CSRF 存储型xss 上传漏洞 越权发布 |
| 会员系统 | 用户越权访问 个人资料信息泄露、遍历 |
| 传输过程 | cookie注入 明文传输 cookie劫持 |
| 抢购活动 | 低价抢购 抢购作弊 刷单 |
| 运费 | 运费绕过 运费修改 |
| 第三方商家 | 盗号 商家信息泄露 商家账户遍历 |
0x04 政务行业
| 通用业务模块 | 业务逻辑漏洞 |
|---|---|
| 登录 | 暴力破解 撞库 验证码爆破和绕过 账户权限绕过 |
| 注册 | 存储型xss 批量注册 任意用户注册 |
| 密码找回 | 重置任意用户密码 新密码劫持 短信验证码劫持 用户邮箱劫持篡改 |
| 后台管理 | 管理员用户密码绕过 目录遍历、下载 |
| 业务查询 | 搜索型注入 办理人信息泄露 |
| 业务办理 | 顶替办理 绕过业务办理流程 篡改其他办理人信息 办理人信息泄露 |
| 评论 | POST注入 CSRF 存储型xss 上传漏洞 越权发布 |
| 传输过程 | cookie注入 明文传输 cookie劫持 |
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
