WEB漏洞-逻辑越权

目录

33、逻辑越权之水平垂直越权

原理

一、Pikachu-本地水平垂直越权演示（漏洞成因）

1.水平越权

 2.垂直越权

3.越权漏洞产生的原理解析：

 二、墨者水平-身份认证失效漏洞实战（漏洞成因）

三、越权检测-小米范越权漏洞检测工具（工具使用）

四、越权检测-Burpsuite插件Authz安装测试（插件使用）

1.在burpsuite中插件管理找到Authz安装 

2.登录mozhe靶场test用户抓包，抓取card_id

3.pikachu中测试

34、逻辑越权之支付数据篡改安全

原理

一、HTTP/HTTPS协议密文抓取

二、后台登陆账号密码爆破测试

​ 三、Cookie脆弱点验证修改测试

四、某商场系统商品支付逻辑测试-数量，订单（购买--截包--改包--放包） 

五、某建站西永商品支付逻辑测试-价格，商品

1.修改价格

 2.修改产品

3.替换支付（修改支付接口）

35、逻辑越权之找回机制与接口爆破

原理

一、找回密码验证码逻辑-爆破测试-实例

二、墨者靶场密码重置-验证码套用-靶场​

三、手机邮箱验证码逻辑-客户端回显-实例

1.汉川招聘网

2.php云系统

四、绑定手机验证码逻辑-Rep 状态值篡改-实例

五、某 APP 短信轰炸接口乱用-实例接口调用发包

36、逻辑越权之验证码与token及接口