本文中提供的例子均来自网络已公开测试的例子，仅供参考。最近斗哥在整理一些业务逻辑漏洞，突然发现好多问题，所以决心和大家一起探讨探讨，今天先从暴力破解开始。 说起暴力破解，它其实就是利用大量猜测和穷举的方式来尝试获取用户口令的攻击方式，如果身份验证模块设计的不好攻击者可以利用自动化攻击进行暴力破解 ...

1、登陆认证模块 2、业务办理模块 3、业务授权访问模块 4、输入输出模块 5、回退模块 6、验证码机制 7、业务数据安全 8、业务流程乱序 9、密码找回模块 10、业务接口调用模块 一、 登陆认证模块测试 　　1、 暴力破解测试 　　使用burp suite，利用 ...

【1】假设有一个池塘，里面有无穷多的水。现有2个空水壶，容积分别为5升和6升。问题是如何只用这2个水壶从池塘里取得3升的水。 【2】三个小伙子同时爱上了一个姑娘，为了决定他们谁能娶这个姑娘，他们决定 ...

前言 上一篇文章中，对逻辑漏洞进行了简单的描述，这篇文章简单的说一说逻辑漏洞中的越权漏洞。 参考文献《黑客攻防技术宝典Web实战篇第二版》 什么是越权漏洞？ 顾名思义，越权漏洞就是由于设计上的缺陷对应用程序的权限做的不好。通俗点来说，就是用户A可以通过某种方式查看到用户B的个人信息 ...

越权访问简介 一般越权访问包含未授权访问、平行越权、垂直越权。 未授权访问：就是在没有任何授权的情况下对需要认证的资源进行访问以及增删改查。 垂直越权：通过低权限向高权限跨越形成垂直越权访问。 平行越权，顾名思义就是同等用户权限之下，不用进入其他用户的账户也可以对别的用户资料或者订单等信息 ...

1. 代码逻辑要尽量简洁，符合处理问题的逻辑。 2. 开始写函数时，就要考虑清楚函数需要解决的问题，函数的输入输出。而且函数模块的可复用性要高。 3. 编写代码时，尽量先从框架入手，要具备框架思维，才能写出漂亮的代码。 4. 对于重复使用的模块要将其封装为函数或类。 5. 提升代码能力的前提，1读 ...

所谓的战术是种终点式的思维。而战略则是里程碑式的思维。后者加入了时间、变化的考量，提升了一个纬度，不得不说是种更为高级的智慧 战略和战术之间到底是啥区别？ 分三个层次讲战略和战术的区别： 第一个层次的区别是，目标不同。战术目标非常简洁清晰，那就是要赢，最好对方全死全输，我是全活全赢，战略目标 ...

　　Java是一种可以撰写跨平台应用软件的面向对象的程序设计语言，是由Sun Microsystems公司于1995年5月推出的Java程序设计语言和Java平台，Java 技术具有卓越的通用性、高效性、平台移植性和安全性 　　Java 编程语言是个简单、面向对象、分布式、解释性、健壮、安全 ...