2018Web攻防训练营逻辑漏洞-订单金额任意修改1.逻辑漏洞介绍2.订单处逻辑分析3.订单处逻辑漏洞4.逻辑漏洞防御课程内容01逻辑漏洞介绍逻辑漏洞介绍逻辑漏洞挖掘一直是安全测试中“经久不衰”的话题。相比SQL注入、XSS漏洞等传统安全漏洞,现在的攻击者更倾向于利用业务逻辑层的应用安全问题,这类问题往往危害巨大,可能造成了企业的资产损失和名誉受损,并且传统的安全防御设备和措施收效甚微。在存在功能性的接口中,都有可能存在程序逻辑功能的安全问题。例如:支付处的任意金额修改。02订单处逻辑分析订单处逻辑分析用户购买商品结账成功购买商品的价格如何获得?03订单处逻辑漏洞订单处逻辑漏洞订单处的逻辑漏洞,大部分在于程序未能正确处理商品价格,数量等。1、商品价格可以任意修改。2、商品价格在后端存储,但是价格数量可以修改。例如:输入-1价格等04逻辑漏洞防御逻辑漏洞防御1、订单多重验证。2、数额巨大采用人工验证。1.逻辑漏洞介绍2.订单处逻辑分析3.订单处逻辑漏洞4.逻辑漏洞防御总结再见欢迎关注Web安全训练营课程
