邏輯漏洞是由於程序邏輯不嚴或邏輯太複雜,導致被***者利用,從而通過篡改相關數據來達到自己的目的,如繞過登錄校驗等!
實踐操作
簡單原理介紹
(這裏只對本次實踐原理的一個簡單介紹)由於對登錄的賬號及口令校驗存在邏輯缺陷,或再次使用服務器端返回的相關參數作爲最終登錄憑證,導致可繞過登錄限制,如服務器返回一個flag參數作爲登錄是否成功的標準,但是由於代碼最後登錄是否成功是通過獲取這個flag參數來作爲最終的驗證,導致***者通過修改flag參數即可繞過登錄的限制!
截斷數據包
設置顯示響應包
修改響應包
登錄成功
第二種修改響應包的方法
這種修改對於後續需要繼續修改的比較適用,如修改cookie來維持訪問的這種!
修復建議
修改驗證邏輯,如是否登錄成功服務器端返回一個參數,但是到此就是最終驗證,不需要再對返回的參數進行使用並作爲登錄是否成功的最終判斷依據!