Web安全渗透方向,三大核心:输入输出、登录体系、权限认证。典型的web漏洞:注入、跨站、上传、代码执行等属于输入输出这个层级,这也是OWASP早期比较侧重的;近年来,像越权漏洞、逻辑绕过、接口安全等逐渐增多,这些属于登录体系和权限认证这个层级。
业务逻辑漏洞主要包括以下分类:1.登录体系安全2.业务一致性3.业务数据篡改4.密码找回5.验证码突破6.会话权限7.数据重放8.接口安全
