??邏輯漏洞是由于程序邏輯不嚴(yán)或邏輯太復(fù)雜,導(dǎo)致被***者利用,從而通過篡改相關(guān)數(shù)據(jù)來達(dá)到自己的目的,如繞過登錄校驗(yàn)等!
創(chuàng)新互聯(lián)建站2013年開創(chuàng)至今,先為石屏等服務(wù)建站,石屏等地企業(yè),進(jìn)行企業(yè)商務(wù)咨詢服務(wù)。為石屏企業(yè)網(wǎng)站制作PC+手機(jī)+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問題。
??(這里只對本次實(shí)踐原理的一個(gè)簡單介紹)由于對登錄的賬號及口令校驗(yàn)存在邏輯缺陷,或再次使用服務(wù)器端返回的相關(guān)參數(shù)作為最終登錄憑證,導(dǎo)致可繞過登錄限制,如服務(wù)器返回一個(gè)flag參數(shù)作為登錄是否成功的標(biāo)準(zhǔn),但是由于代碼最后登錄是否成功是通過獲取這個(gè)flag參數(shù)來作為最終的驗(yàn)證,導(dǎo)致***者通過修改flag參數(shù)即可繞過登錄的限制!
??這種修改對于后續(xù)需要繼續(xù)修改的比較適用,如修改cookie來維持訪問的這種!
??修改驗(yàn)證邏輯,如是否登錄成功服務(wù)器端返回一個(gè)參數(shù),但是到此就是最終驗(yàn)證,不需要再對返回的參數(shù)進(jìn)行使用并作為登錄是否成功的最終判斷依據(jù)!