逻辑漏洞面试问题
1、你挖过业务逻辑漏洞吗?了解的有哪些?如何进行的?对于业务逻辑漏洞,只有一个登录框,你
会怎么测试?逻辑漏洞 xray 如何避免敏感操作?
常见的业务逻辑漏洞类型包括:订单支付漏洞、优惠券滥用漏洞、积分系统漏洞、用户权限漏洞等。测试时,需要模拟真实场景,使用不同的账号进行测试。
对于只有一个登录框的情况,可以测试以下几点:
1.输入错误的账号密码,测试是否会提示错误信息;
2.输入正确的账号密码,测试是否能够成功登录;
3.输入未注册过的账号,测试是否能够提示注册信息或者其他错误信息。
关于逻辑漏洞Xray的避免敏感操作,可以通过以下几点:
1.限制由Xray发出的请求的范围,例如只能访问特定的URL;
2.在Xray中设置敏感操作的白名单,只允许特定的用户进行此操作;
3.在Xray中设置敏感操作的二次确认,例如要求用户输入密码或其他验证方式
二、说一下常见的业务逻辑漏洞或者挖到过的业务逻辑漏洞订单查询怎么利用业务逻辑漏洞?
常见的业务逻辑漏洞包括但不限于:
1.越权操作:攻击者可以通过修改请求参数、伪造请求头等方式,绕过身份验证机制,直接访问或操作不应该被授权的资源。
2.注入漏洞:攻击者可以在输入框中注入恶意脚本或代码,从而实现执行恶意代码、获取敏感信息等攻击行为。
3.逻辑漏洞:攻击者可以通过修改请求参数或绕过某些检查机制,绕过一些逻辑限制,实现非法操作或获取敏感信息。
4.会话管理漏洞:攻击者可以通过盗用或伪造会话标识符,获得合法用户的权限,进而进行非法操作。
订单查询这个功能存在的业务逻辑漏洞可能包括:
1.越权查询:攻击者可以通过修改订单查询接口的请求参数,获取其他用户的订单信息,包括订单号、订单金额、收货地址等。
2.盲注漏洞:如果订单查询接口没有对查询参数进行严格的输入验证和过滤处理,攻击者可以在查询参数中注入恶意SQL语句,从而实现访问或操作数据库的攻击行为。
3.订单状态篡改:攻击者可以通过修改订单查询接口的请求参数,伪造已支付或已发货的订单状态,从而实现对订单的非法操作,例如恶意退款、虚假评价等。
攻击者可以通过利用这些漏洞,获取敏感信息、盗取资金、篡改订单等,给用户和企业带来损失。因此在开发过程中,需要对业务逻辑进行彻底的审计和测试,尽可能避免漏洞
的产生。