张士玉小黑屋

目录前言一、登录认证模块暴力破解登录绕过会话固定漏洞Session会话注销Cookie仿冒二、越权三、数量金额修改四、前端js限制绕过五、请求重放六、短信/邮箱验证码漏洞短信重放验证码校验绕过验证码重用/手机号修改验证码回显短信/邮箱验证码暴力破解七、图形验证码漏洞失效的图形验证码八、未授权访问前言业务安全漏洞作为常见的Web安全漏洞，在平时的渗透测试过程中是非常常见的，在诸次面临waf让你屡屡碰壁的情况下，不妨多看看逻辑漏洞。下面是结合我自己平时渗透项目中常见的业务逻辑漏洞做的一个总结一、登录认证