逻辑漏洞学习（非常详细），零基础入门到精通，看这一篇就够了

最新推荐文章于 2025-06-05 20:16:18 发布

网安教程

最新推荐文章于 2025-06-05 20:16:18 发布

阅读量1.6k

点赞数 7

文章标签：学习安全网络逻辑漏洞学习

本文链接：https://blog.youkuaiyun.com/weixin_51725318/article/details/144582139

版权

概述

逻辑漏洞：指由于程序逻辑不严谨或逻辑太复杂，导致一些逻辑分支不能够正常处理或处理错误。通俗地讲：一个系统的功能太多后，程序开发人员难以思考全面，对某些地方可能有遗漏，或者末能正确处理，从而导致逻辑漏洞。逻辑漏洞也可以说是程序开发人员的思路、逻辑存在漏洞。

代码背后是人的逻辑，人更容易犯错，所以逻辑漏洞一直都在，而且由于逻辑漏洞产生的流量多数为合法流量，一般的防护手段或设备无法有效防护，也导致了逻辑漏洞成为了企业防护中的难题。

逻辑漏洞类型：逻辑漏洞覆盖面很广，一直以来对于逻辑漏洞尚未产生明确的分类，因为所有的漏洞包括SQL注入、文件上传、命令执行等本质上都是逻辑漏洞。

逻辑漏洞类型：大致包括了绕过功能限制、遍历、越权、弱口令、信息泄漏、任意用户密码重置、竞争性问题等。在一些场景下，由于功能本身设计复杂、易于出现纰漏，导致针对特定场景下的特定逻辑漏洞问题讨论，此类风险场景有：支付安全、验证码安全、应用权限安全等。

特点：非常隐蔽，利用很简单，危害巨大。

安装逻辑漏洞

安装逻辑漏洞：很多中小型网站喜欢使用CMS一键建站，这类网站都有个初始化的过程即安装过程，第一次访问网站时，会进入安装引导页面：

安装过程包括了数据库配置、网站后台管理员信息、网站名称、安装目录等关键信息。

由于程序设计的不严谨，安装完成后，虽然网站可以正常使用，但是初始化安装的页面还可以访问并执行，那么攻击者就可以通过该页面直接重新安装整个 CMS网站。

安装文件如果被攻击者获取，还会泄露大量的网站信息。除此之外，还有一些网站把更新按钮放在网页中，能够被正常用户访问，直接点击按钮更新网站内容或者代码，这会导致网站出现一些兼容性问题和异常。

安装逻辑漏洞挖掘思路：

查看能否绕过判定重新安装。
查看能否利用安装文件获取信息。
看能否利用更新功能获取信息。

交易逻辑漏洞

交易逻辑漏洞：主要涉及转账、抽奖、优惠活动、交易、充值、提现、返现、购物、金额查询等业务。这类漏洞一旦出现都属于高危漏洞，因为都会涉及到钱、用户信息、提供商声誉等敏感问题。

交易逻辑的任何位置，任何参数，都可能出现问题。这也是现在金融、证券、支付行业要求所有业务数据交互都采用目前最安全加密方式的原因。

漏洞危害：攻击者通过漏洞利用攻击业务，直接获利。

基本测试思路：

加入购物车时，抓包尝试修改购买数量为负数，试一试商品价格能否修改。
确认购物车消息时，尝试修改金额，如果购买多件打折，尝试能不能突破这个逻辑，比如先加入购物车，再把多余的移除，看有没有效果。
物流这里尝试能否修改运费，或改为负数，或者在不改变收货地址的前提下修改区域到包邮地区。
确认订单跳转支付接口时，看能不能修改金额，尝试能不能跳过支付，直接跳到支付成功的页面。

常见交易逻辑漏洞

常见交易逻辑漏洞：

正负值对冲：正常的逻辑是用户购买商品，然后价格累加得到一个总价进行扣款。如果说用户购买的商品是负数了，那么计算的总数就是负数，反过来钱会给用户。
顺序执行缺陷：正常的逻辑是a-b-c-d流程依次进行操作。如果可以绕过某一个过程进入到下一步操作，就会造成异常。假设可以跳过支付的操作，就会产生支付绕过逻辑漏洞。
交易金额篡改：使用Burp抓取交易数据包，直接对下单的金额进行修改。
汇率换算问题：产生在paypal类似的国际支付的场景，对于金额的换算可能存在问题。
刷优惠卷、套现：绕过限制，刷活动优惠卷或变现。
点击支付之后还可以加入购物车：把商品放入购物车点击下单支付，会跳转到微信，支付宝等第三方支付平台，此时金额已经固定，如果这个时候继续在购物车中加入商品，支付结束之后，商家发放的商品是购物车原来商品和后续添加的商品。
请求重放：购买成功之后，继续重放请求，可以让购买的商品一直增加。购买成功之后，会有一个银行对商户网站跳转的过程，如果反复进行操作，有几率会导致商品反复购买和增加，但是不需要付更多的钱。
订单替换：订单替换发生在支付之后的事件处理，同时向服务器发起二次支付请求一个金额多一个金额少，支付金额少的，然后支付之后进行替换，告知服务器订单支付完成，让服务器按照金额多的订单处理。
伪造商家：通过支付过程的缺陷，将自己伪造成目标商家，类似于把自己收款码贴在商家的收款码上面。
身份伪造：在支付过程中可能会发生身份伪造现象，首先登陆自己的账户，然后取得其他用户的账户名等有效信息，在业务流程中用其他用户的信息替换自己的信息，用对方的余额购买完成后，再替换自己的账户名，这样就完成了用别人的钱给自己买东西。
支付密钥泄露：如果商家用自己的网店接入第三方支付接口，由于设计不当导致网点与第三方支付约定的密钥Key被攻击者获取，那么攻击者就可以利用密钥进行操作。除此之外，内置支付功能的app为了使用方便有可能把支付密钥放入app中，攻击者可以反编译app获取密钥

用户逻辑漏洞

用户逻辑漏洞：和用户管理相关功能点上的逻辑漏洞，常见的有身份验证、登录、注册、修改密码、找回密码、账号申诉等。

密码逻辑问题：

服务端没有验证用户设置密码的强度，并强制修改。
规律性密码，比如许多公司喜欢使用一些公司缩写等特征密码。
密码没有完善的定期修改策略。

身份验证漏洞：

常见有明文传输、用户名遍历、暴力破解、Session会话固定、Cookie欺骗。

明文传输：账号密码未加密，传输过程中是明文的，容易被网络嗅探监听到账号密码，因为网络发包方式是广播方式，局域网内容易被嗅探工具检测到流量并查看明文信息。
用户名遍历：登录失败提示账号不存在或者密码错误，可用于遍历用户名。
暴力破解：由于没有设置登录失败次数限制，攻击者可以使用暴力猜解获取账号密码，并进行登录操作。可以添加验证码或者针对用户名进行错误次数计算，高于一定阈值，账号会被锁定一段时间，但是不能永久锁定，否则可以被用来进行账户恶意锁定。还可以在某个IP短时间出现大量登录请求时，封禁该IP地址。
Session会话固定：在请求登录过程时候，URL带有session信息，登录成功之后会将登录成功的信息绑定到这个session中，攻击者可以发送带有session的URL给相关工作人员诱导其登录，登录成功后，利用该session就可以伪装管理员身份。只要避免在URL中带入session信息即可比较有效的防御。
Cookie欺骗：开发者为了方便将身份信息/登录信息明文存储和传输或者只是简单编码、哈希之后存放在cookies中，网站通过获取得到的cookies进行授权或者身份验证，攻击者可以通过伪造cookie信息能够伪造其他用户进行登录。Cookie不应该存储可理解的身份信息和登录信息，按照规定，cookie对身份信息和登录信息的存储只能通过存储足够长度的随机字符串进行，以避免篡改。

注册逻辑漏洞：

批量注册：脚本批量和模拟器注册。
任意用户注册：用户信息与校验凭证未绑定，不校验用户信息（只需要手机号或邮箱即可注册成功）。
用户覆盖：注册相同账号名的账号或者注册账号如admin （后加空格），覆盖掉已有账号。
注册遍历猜解已有账号：注册时，如果用户名或者手机号已经注册，会提示该用户已注册或已存在，那么可以使用这个特性，遍历出当前服务的所有用户，常用于扩大弱口令的攻击面。

找回密码逻辑漏洞：

任意用户密码重置。
密码重置后新密码在返回包中返回。
找回密码功能泄露用户敏感信息，如用户当前密码、绑定的手机号等。
用户名遍历。
找回密码流程步骤绕过。
密保问题前端认证或者密码问题答案不是输入，而是几项选择，可被遍历。

修改密码逻辑漏洞：

越权修改密码：例如只用用户名作为修改目标判断依据，可以修改其他用户密码。
修改密码没有验证旧密码，可以任意修改用户密码。

用户逻辑漏洞

账号申诉：

身份伪造
逻辑绕过

信息查询：

权限限制不当可以越权查询
用户信息ID可以猜测导致遍历：简单的以id=1这类为查询条件进行查询。

验证码逻辑漏洞

常见验证码类型：图形验证码、短信验证码、邮箱验证码。

验证码常见问题：验证码可重复使用、验证码随机值可预测、验证码根据提交的参数生成可被自定义、验证码强度低、验证码无时间限制或者失效时间长、验证码无猜测次数限制、验证码强校验缺失可删除验证码参数、验证码在返回包中明文返回、验证码不刷新或无效、验证码数量有限、修改Cookie绕过、修改返回包绕过验证码、验证码在客户端生成或校验、验证码分步识别、验证码可OCR或使用机器学习识别等。

短信/邮箱轰炸：有横向轰炸和纵向轰炸两种。在注册、登录、找回密码、更改信息、绑定手机号、支付类二次验证身份等处，需要发送验证码，如果验证逻辑不完善，可以在短时间内发送大量验证码，会过多消耗服务器资源并恶意骚扰他人。

横向短信轰炸：轰炸不同手机号，每个手机号发一点验证码。

纵向短信轰炸：轰炸一个手机号，发送大量验证码。

攻击手段：抓取发送验证码的数据包，重放或爆破。服务端的检测如果不够完善，还可以通过添加%00、%20等绕过检测，实现短信轰炸。

权限类逻辑漏洞

主要是与权限相关的漏洞，当服务器设计不严谨，对于不同用户的权限划分不够细致，可能会导致权限相关的问题。常见的有未授权访问、垂直越权和水平越权三类。

越权漏洞是在测试过程中遇到比较多的漏洞，可以这样来理解越权漏洞，一个用户A一般只能够对自己本身的信息进行增删改查，然而由于开发人员的疏忽，没有在某些功能点上对用户身份进行判断，从而导致用户A可以对其他用户进行增删改查等等操作。

未授权访问：即游客（未登录）能够访问普通用户或超级管理员才能访问的系统信息或者系统功能。

垂直越权：普通用户能够访问管理员甚至超级管理员才能够访问的系统信息或者系统功能。

水平越权：即普通用户/管理员能访问其他普通用户/管理员才能够访问的系统信息或者系统功能。

未授权访问：未授权访问是系统对用户限制不全，或者无限制，可以让任意用户或者限制访问用户，访问到需要权限认证的内容。未授权访问通常是会造成泄露用户信息，系统信息甚至是可以执行系统命令，操作系统文件，导致系统的整体安全遭到破坏等后果。

未授权漏洞验证：不需要用户身份信息即可访问。Web应用上，一般删除请求包中的Cookie字段，依旧可以正常访问逻辑上需要身份认证的页面，则说明存在未授权访问。

常见未授权漏洞：Redis 未授权访问漏洞、MongoDB 未授权访问漏洞、Jenkins 未授权访问漏洞、 Memcached 未授权访问漏洞、JBOSS 未授权访问漏洞、VNC 未授权访问漏洞、Docker 未授权访问漏洞、ZooKeeper 未授权访问漏洞、Rsync 未授权访问漏洞、Atlassian Crowd 未授权访问漏洞、CouchDB 未授权访问漏洞、Elasticsearch 未授权访问漏洞、Hadoop 未授权访问漏洞、 Jupyter Notebook 未授权访问漏洞等。

垂直越权：

垂直越权又叫做权限提升攻击，具体原因就是web应用没有做用户权限控制，或者只是在菜单上做了权限控制，导致恶意用户只要猜测到其他管理页面的URL，就可以访问或者控制其他角色拥有的数据或者页面，达到权限提升的目的。

admin账号登录，进入网站登录界面。

进来以后可以看到，admin可以添加删除用户，还可以看到所有的用户。

尝试以管理员权限添加新用户，如下图所示。还可以执行其他需要管理员身份才能进行的操作，然后使用Burp抓包

退出admin账号，登录普通用户或普通管理员的账号，发现不能添加和删除用户，只有查看用户的权限

用普通用户账号发送一个请求包，然后用Burp抓包获取普通用户Cookie信息：

将普通权限的Cookie放到超级管理员的添加用户的请求包中，当前数据包就是以普通用户身份让服务器添加用户

成功修改，说明垂直越权存在

水平越权：

又称作访问控制攻击漏洞，Web应用程序接收到用户的请求，进行增删改查某条数据时候，没有判断数据所对应的用户，或者在判断数据的用户时是通过从用户表单参数中获取userid来实现的，就可以通过修改userid来实现水平越权。

与垂直越权的利用过程完全相同，就是越权的对象与自己当前权限同等级，比如都是网站的普通账号，或者都是网站的普通管理员账号。

条件竞争漏洞：

是一种服务器端的漏洞，由于服务器端在处理不同用户的请求时是并发进行的，因此，如果并发处理不当或相关操作逻辑顺序设计的不合理时，将会导致此类问题的发生。

条件竞争漏洞一般出现在与数据库系统频繁交互的位置，例如金额同步、支付等较敏感操作处。另外条件竞争漏洞也会出现在其他位置，例如文件的操作处理、信息更新等位置。

竞争条件发生在多个线程同时访问同一个共享代码、变量、文件等没有进行锁操作或者同步操作的场景中。

实例：假设现有一个用户在系统中共有2000元可以提现，他想全部提现。于是该用户同时发起两次提现请求，第一次提交请求提现2000元，系统已经创建了提现订单但还未来得及修改该用户剩余金额，此时发起的第二次提现请求同样提现 2000元，于是程序在还未修改完上一次请求后的余额就进行了余额判断，如果第二次余额判断速度快于第一次余额修改速度，就能成功提现两次订单，而数据库中余额也将变为-2000。而这产生的后果将会是平台多向该用户付出2000元。

这种多次交易请求后一次先于前面完成的情况非常多，如游戏充值、商城付款、提现、转账等。大多数情况都是由于网络环境的原因导致的。

其他逻辑漏洞

用户/订单/优惠券等ID生成有规律，可枚举
接口无权限、次数限制
加密算法实现问题
执行顺序问题
敏感信息泄

END

零基础网络安全/黑客学习计划

学习路线图大纲总览

我一共划分了六个阶段，但并不是说你得学完全部才能上手工作，对于一些初级岗位，学到第三四个阶段就足矣~

这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包，需要的小伙伴文末免费领取哦，无偿分享！！！

【一一帮助网络安全学习，以下所有资源文末免费领取一一】
①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

在这里插入图片描述

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。