qzgsg

摘要： 逻辑漏洞 === 密码找回逻辑漏洞 越权修改逻辑 在线支付逻辑 水平越权：相同等级账号 垂直越权：低权限向高权限的越权 密码找回的逻辑漏洞 弱口令 找回凭证的口令太弱。比如只需要添加一个四位或者式刘伟的纯数字的验证码，就可以重置密码，导致可以暴力破解 session覆盖 打开两个找回账号的页面，先申 阅读全文