一、逻辑漏洞简介
逻辑漏洞是业务流程设计缺陷(非代码漏洞),常见于0元购、越权、并发刷奖、换绑薅优惠等场景,易被利用薅羊毛、泄露数据,是挖 SRC 的高频靶点。
二、案例分享
2.1 投诉处的越权
自己先投诉一个,查看我的记录直接修改id
记住:这种越深层,越权漏洞越多
2.1 只要找对点,万物皆可并发
注册的时候,直接并发(不管验证码,直接干,up挖了不少)
这种看几十秒的视频就奖励积分,嘿嘿嘿(up挖到过严重)
怎么做?直接bp打开,抓到奖励(自我奖励)的数据包,直接并发,不断刷积分
2.3 遇到四为验证数直接爆破
向这种不是白给吗?直接上bp爆破
2.4 换绑不断获得新人优惠
逻辑:A手机注册一个账号(有新人优惠)->换绑成B(B为老用户,继承A原来的优惠)->A再注册一个账号(又有新人优惠)->再次换绑成B(B又获得新人优惠)
就这样唧唧复唧唧
2.5 语法捡漏
Fofa:domain=”xxx.com” && (body=”7天会员” || body=”优惠” || body=”新人”) && status_code=”200″
谷歌:site:xxx.com intext(或者intitle):会员|优惠|新人
![图片[6]-逻辑漏洞实战案例详解-SRC挖宝指南-极光攻防实验室](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/202511091407009.png?imageMogr2/format/avif)
有人说:这些有啥用? 你傻呀,不会用上面招式吗?或者存在一个过期优惠还可以白嫖(哈哈哈)
THE END
暂无评论内容