常见的逻辑漏洞

逻辑漏洞

密码找回逻辑漏洞
越权修改逻辑
在线支付逻辑

水平越权：相同等级账号
垂直越权：低权限向高权限的越权

密码找回的逻辑漏洞

弱口令
找回凭证的口令太弱。比如只需要添加一个四位或者式刘伟的纯数字的验证码，就可以重置密码，导致可以暴力破解

session覆盖
打开两个找回账号的页面，先申请自己的密码修改，之后申请别人的账号

支付漏洞

关键步骤数据包中直接传递需要支付的金额，例如，APP盘丝洞

对于购买的数量没有做出限制

数量上面变成负数，然后抵扣

请求重放

购买商品重复其请求，购买商品一直增加