841天 南柯一梦

忠于理想 面对现实

[-]CSRF是个什么鬼?   |___简单的理解:     |----攻击者盗用了你的身份,以你的名义进行某些非法操作。CSRF能够使用你的账户发送邮件,获取你的敏感信息,甚至盗走你的财产。   |___CSRF攻击原理:     |----当我们打开或者登陆某个网站的...

逻辑漏洞挖掘 1工具:抓包工具 2思路:复杂灵活 3核心:绕过真实身份认证或者正常业务流程达到预期目的。 4用户身份:认证 用户身份特性认证 本地认证 服务端认证 5业务流程:对业务流程熟悉程度(各类型的网站,业务模式) 根据具体的业务确定漏洞模型。 6逻辑漏洞类型: 支付漏洞:价格 数量,订单,结算,优惠券重复利用 一:订单 a,选择商品时修改商品价格 b,...