Web安全渗透方向,三大核心:输入输出、登录体系、权限认证。
典型的web漏洞:注入、跨站、上传、代码执行等属于输入输出这个层级,这也是OWASP早期比较侧重的;近年来,像越权漏洞、逻辑绕过、接口安全等逐渐增多,这些属于登录体系和权限认证这个层级。
业务逻辑漏洞主要包括以下分类:
1.登录体系安全
2.业务一致性
3.业务数据篡改
4.密码找回
5.验证码突破
6.会话权限
7.数据重放
8.接口安全
Web安全渗透方向,三大核心:输入输出、登录体系、权限认证。
典型的web漏洞:注入、跨站、上传、代码执行等属于输入输出这个层级,这也是OWASP早期比较侧重的;近年来,像越权漏洞、逻辑绕过、接口安全等逐渐增多,这些属于登录体系和权限认证这个层级。
业务逻辑漏洞主要包括以下分类:
1.登录体系安全
2.业务一致性
3.业务数据篡改
4.密码找回
5.验证码突破
6.会话权限
7.数据重放
8.接口安全