黑客攻防技术宝典 — Notes 8 针对程序逻辑的攻击

开发人员喜欢做一些假设,而攻击者的操作却在假设之外

1.假设用户自己不会增、删、改HTTP参数

2.假设用户会按预定的顺序访问页面(攻击手段有 省略某些阶段、多次访问同一阶段,推后访问前一阶段,修改代表阶段的参数)。这种漏洞不但有可能暴露业务数据,甚至可能让人看到各种各样的异常信息

3.假设用户不会在最后一步提交前一步的参数

4.假设用户输入的金额是正数

5.没想到用户在获得折扣后会从购物车中删除大部分货物

Leave a Comment

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.