Web安全渗透方向,三大核心:输入输出、登录体系、权限认证。
典型的web漏洞:注入、交叉站点、上传、代码执行等都是输入输出的层面,这也是OWASP初期重视的近年来越权漏洞、逻辑旁路、接口安全等不断增加
业务逻辑漏洞主要包括以下分类:
1 .登录系统的安全性
2 .业务一致性
3 .篡改业务数据
4 .找回密码
5 .验证码突破
6 .会话权限
7 .数据再现
8 .接口安全
http://sm0nk.com/2017/10/18/逻辑漏洞总结/logicVuls.png
http://sm0nk.com/2017/10/18/逻辑漏洞总结/apiSec.png