【HR】SRC挖掘技巧① 带你挖漏洞

先写个介绍[玫瑰][玫瑰]

业务逻辑漏洞简介
业务逻辑漏洞，是由于程序逻辑不严谨或逻辑太过复杂，导致一些逻辑分支不能正常处理或处理错误，这样的漏洞统称为业务逻辑漏洞。

简单理解：就是编程人员的思维逻辑不够严谨导致攻击者有机可乘的漏洞

逻辑漏洞还是一种虽然没有在owasp top10 中提及到，但是往往会存在的漏洞。好像一名隐士，大隐隐于市，然而造成的破坏可能一点不比sql注入，xss等漏洞小。如下是逻辑漏洞的top10挖掘方向：
1.身份认证安全
2.业务一致性安全
3.业务数据篡改
4.用户输入合法性
5.密码找回漏洞
6.验证码突破
7.业务授权安全
8.业务流程乱序
9.业务接口调用
10.时效绕过测试

这十个都会慢慢写出来的[玫瑰][玫瑰]