在廠家的時候出來跟客戶聊安全，老是喜歡把漏洞分為“傳統漏洞”、“業務邏輯漏洞”。現在聽到這詞還蠻新鮮的。最近要讓學弟們去幫忙挖漏洞，結合自己的測試經驗順便給他們歸納了下業務邏輯挖掘，於是有了本文....

純科普，大牛請無視

暴力破解：

實習的時候幫客戶檢查系統，當實在沒找到漏洞的時候最愛挑這個毛病，“該系統可被暴力破解”。因為內網中這問題比比皆是，暴力破解確實是個敲門磚。

　　01：沒有驗證碼

　　　　可選工具：burpsuite

當然了，也可以選擇同時爆破多個參數

02：形同虛設的驗證碼

　　另一種情況是有驗證碼，但是驗證碼卻可以被重復利用。最簡單的判斷就是重復刷新頁面，你會發現驗證碼沒有改變。這類的目標你可以嘗試下爆破。

　　 還曾經見過內網中的一套系統，有驗證碼，但是在抓包後，把驗證碼刪掉。即使在沒有驗證碼的情況下也能提交成功。

session & cookie類

　　會話固定攻擊：利用服務器的session不變機制，借他人之手獲得認證和授權，冒充他人。

　　場景一：某系統認證登錄後，session存在於url中。我們通過偽造一個session+url的鏈接。發給對方，對方通過這個鏈接登錄後。測試者本地即可直接利用該session。

　　場景二：在CTF比賽中和早期一些低級的留言系統可以碰到。用戶是否具備訪問權限，僅僅通過cookie中的參數來判斷。此時，uid=admin，即可賦予admin的權限。（不要覺得傻逼，還真有==）

都是JS惹的禍：

　　場景一：給客戶做安全培訓的時候必講的一個題。可以理解成越權訪問。在未登陸的情況下直接訪問某些管理員頁面，會提示”未登陸，請重新登陸“然後跳轉到登陸頁面。這時候只要將瀏覽器的js禁用即可。這個問題在某國企多年內網漏洞挖掘中也發現多次。

　　場景二：在給某客戶做安全評估，一套圖書館系統。都快睡著了。開著burpsuite一邊抓包一邊瀏(踩)覽(點)頁面。在登錄框輸入一個存在的賬號後發現有提交請求一次（看起來沒毛病）。右鍵查看源碼，問題來了。在密碼框原來的 value=“” 居然變成了 value=“邪惡的密碼”....。所以我已經猜到了這位開發同學的小九九。

業務邏輯漏洞挖掘隨筆【身份認證篇】