逻辑漏洞挖掘思路？（漏洞挖掘是否需要专注某一平台？）

逻辑漏洞挖掘思路？

一丶安全漏洞介绍

成都网站建设、成都网站制作的关注点不是能为您做些什么网站，而是怎么做网站，有没有做好网站，给成都创新互联一个展示的机会来证明自己，这并不会花费您太多时间，或许会给您带来新的灵感和惊喜。面向用户友好，注重用户体验，一切以用户为中心。

业务流程逻辑漏洞就是指因为程序结构不认真细致或逻辑太繁杂，导致许多逻辑支系不可以正常解决或错误处理。

二丶普遍场景

三丶安全漏洞情景

1）登陆图片验证码爆破

有一些系统软件，智能手机接收验证码的情况下，并没有对图片验证码的检验数次开展限制，亦或是是并没有对图片验证码的有限时长开展限制，便会导致图片验证码爆破，可是实战演练中4位的数字图片验证码依然非常容易爆破的，有一些67位的就并不是非常好爆破了，通常src也不会收这种。

2）凭据回到

这一就很有趣，在1次某求职网安全漏洞挖掘的情况下，遇到在接收验证码的地儿，抓包，回到的响应包get-Cookie里边立即回到了图片验证码，立即就可以短信验证，能够实现随意账号登录，申请注册，找回密码。有一些也有在登陆亦或是找回密码的情况下会回到密码。

3）图片验证码绕过

实际上这儿不只是图片验证码，在一些找回密码，亦或是检验客户凭据的情况下，会依据回到的状态码开展检验，假定图片验证码是正确的，回到的状态码位1，错为2，这儿咱们就可以利用抓取响应包，更改状态码为1，就可以实现检验绕过。最初的情况下我不会抓响应包之后才知道如何抓，非常简单，便是在Burp里边的Dointercept->Respongetothisrequest。

4）短信轰炸

导致短信轰炸的因素主要是并没有对单独一个客户接收验证码的数次开展限制，利用Burp抓包，数据包重放就可以导致短信轰炸。

5）session覆盖

相同浏览器，最先键入自个的账户开展电子邮箱找回密码，进到电子邮箱检查网页链接，然后键入别人账户，开展找回密码，回到刚开始自个的电子邮箱点一下网页链接，因为session覆盖导致了，这一网页链接变成了更改别人密码的网页链接，顺利更改别人密码

6）逻辑越权

相同级别（权限）的客户亦或是相同角色不同的客户之间，能够越权访问、更改亦或是删除的非法操作，如果出现此安全漏洞，很有可能会导致大批量的数据泄漏，严重的甚至会导致用户信息被恶意篡改

漏洞挖掘是否需要专注某一平台？

好像的漏洞，都是自已发现的。当然现在有很多漏洞发布平台，有一些专门的团队机构每天在发布漏洞。大多数人干的事，是看平台发布的漏洞，然后写代码利用，在漏洞没有补之前拿到自已想要的。

网剧唐人街探案为何有人说被过度吹捧？

我不知道“有人说”是哪些人说的。

在刷完第一个案子之后，至少有一点可以肯定：

《唐人街探案》网剧版前四集，没有太过明显的漏洞！

唯一的Bug，就是主角林默的嗅觉太强大了！有如此强大的能力，做个年薪千万（软妹币）的闻香师不好吗？干嘛非要当化学老师？

（一个优秀的闻香师，能分辨出4000多种不同的气味。据统计，全世界只有300名专业闻香师。年薪千万，随随便便。）

至于说某些人认为的“漏洞”，乐哥建议：

细致看三遍，再发表评论也不迟！

依据前面的回答，乐哥为大家解释一下可能会引起“误解”（让观众误以为是漏洞）的情节，方便小伙伴们更好的理解剧情。

阿水“被”的全过程。

秦俊在案发前，买了一个新柜子。

这个柜子的最大用途，就是为了躲过公寓的监控，将阿温（装到柜子里）神不知鬼不觉的“运”到阿水与秦俊的住处。

被“咒语”折磨得痛不欲生、精神失常的阿水，当晚服用了大量药物（药物提前被秦俊做过手脚），导致阿水昏睡不醒。

深夜，阿温从柜子里出来，穿上和阿水一样的睡衣，披头散发（头发遮住脸），走上阳台，跳了一段“祝舞”之后，“跳楼”。（其实是跳到了旁边突出的遮阳台上）

注：在此过程中，监控只拍到了披头散发的“阿水”（其实是阿温假扮）走向楼顶，背对摄像头跳舞而后跳下去的画面。

与此同时，秦俊将药效发作、昏迷不醒的阿水从自己家的阳台扔了下去。这对狗男女成功的伪造出了阿水的“前因后果”。

最重要的环节来了：

在发现阿水坠楼身亡之后，保安叫醒了装睡的秦俊。看完监控，秦俊假装悲伤过度、情绪失控，趁机砸了公寓的监控设备（电脑机箱和显示器）。其实，他真正的目的是为了掩护阿温随后躲过监控，逃离现场。

有的小伙伴要问了：为什么迪楠的手机可以恢复数据，小区的监控就不可以呢？

这个要看运气了。同为物理毁坏，有的存储设备可以复原，有的完全复原不了。而且，主机（存储设备）被毁坏或者断开连接，至少当时阿温逃离公寓的那段画面，是没办法存储下来的；屏幕被砸，说明当时也没人能从监控中看出阿温离开。

所以，就算修复了公寓监控的主机（硬盘）也不管用。因为，当时就算摄像头拍上了，也存不上。

综上，阿温是趁秦俊砸坏监控后，到监控修好的那段时间离开公寓的。当时，摄像头拍到了，也存不了；为防有人看到，秦俊连显示器也砸了。

机场爆炸物的情节。

这一段有现实依据。

当年让美国FBI头痛了25年的“炸弹客”特德，就可以用日用品制造出炸弹。（有兴趣的小伙伴们可以自行度娘）

试想，林默在进入机场前，包里只是一堆日用品（普通化学品）。在进入机场后，躲进厕所，迅速将几种常用物品组装成一个疑似的爆炸物。

然后林默带着它上飞机，等到起飞前，发短信或者打，就说那趟班机上有疑似的爆炸物。

试问：这种情况下，谁敢冒险让这架飞机起飞？

其它容易引起“误解”的细节。

①阿水与同学们的聚会。

剧中对于这一段的描写，其实从侧面突出了阿水的善良与得体：

哪怕已经毕业十年了，但是阿水依然记得三个好姐妹在毕业纪念册上的留言。

如果只送她们三个礼物，显得太突兀、太明显——有可能伤害姐妹的自尊，还有可能引起其余同学的不快。

所以阿水为所有人准备了礼物，以此“掩饰”自己给同宿舍姐妹送礼物的真正目的。既考虑到了所有人的感受，又帮助姐妹们实现了他们的小心愿……

谁能想到，阿水的一片苦心，被姐妹们误解为炫富；一片好心，反而激起了阿温的杀心……

②关于林默最后被释放。

涉嫌危害公共安全，导致航班延误、民众恐慌……，如果在现实社会，林默最轻也得去里面蹲几年。

但是，在剧中，经过萨纱交涉之后，林默就被轻易的放出来了。这一点确实有些匪夷所思。

其实，换个角度，剧中所有的事情，发生在“唐人街探案宇宙”，并非当下的现实。

在该剧的设定中，故事看似发生于泰国，泰文却和中文并用；警察局的警长是可以光明正大的求神拜佛的；出现最多的神，居然是印度教中的梵天大神……

所以说，以剧中“探案宇宙”的设定，法律也不像现实中那么宽容。要不然，也就没这些神探们发挥的空间了。

结语

目前来看，林默的鼻子，就是该剧最大的漏洞。

因为，嗅觉越敏锐，也就越脆弱。什么辛辣、刺激性的事物是一概不能沾的。

从剧中林默吃货的本质来看，这家伙完全就不忌口。这一点，与现实有些出入。

其余的，乐哥目前还没有发现。

欢迎小伙伴们踊跃留言讨论。如果有不理解的情节，我们可以一起探讨。

如何提升挖掘0day漏洞的能力？

一下方法纯属臆想，看看就行。因为我不是干这个的。

可以采用人工智能。以所有的，各种平台的漏洞，对漏洞挖掘工具进行训练，提高其能力。

文章标题：逻辑漏洞挖掘思路？（漏洞挖掘是否需要专注某一平台？）
文章源于：http://www.shufengxianlan.com/qtweb/news21/236671.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联