本文中提供的例子均來自網絡已公開測試的例子，僅供參考。最近斗哥在整理一些業務邏輯漏洞，突然發現好多問題，所以決心和大家一起探討探討，今天先從暴力破解開始。 說起暴力破解，它其實就是利用大量猜測和窮舉的方式來嘗試獲取用戶口令的攻擊方式，如果身份驗證模塊設計的不好攻擊者可以利用自動化攻擊進行暴力破解 ...

1、登陸認證模塊 2、業務辦理模塊 3、業務授權訪問模塊 4、輸入輸出模塊 5、回退模塊 6、驗證碼機制 7、業務數據安全 8、業務流程亂序 9、密碼找回模塊 10、業務接口調用模塊 一、 登陸認證模塊測試 　　1、 暴力破解測試 　　使用burp suite，利用 ...

【1】假設有一個池塘，里面有無窮多的水。現有2個空水壺，容積分別為5升和6升。問題是如何只用這2個水壺從池塘里取得3升的水。 【2】三個小伙子同時愛上了一個姑娘，為了決定他們誰能娶這個姑娘，他們決定 ...

前言 上一篇文章中，對邏輯漏洞進行了簡單的描述，這篇文章簡單的說一說邏輯漏洞中的越權漏洞。 參考文獻《黑客攻防技術寶典Web實戰篇第二版》 什么是越權漏洞？ 顧名思義，越權漏洞就是由於設計上的缺陷對應用程序的權限做的不好。通俗點來說，就是用戶A可以通過某種方式查看到用戶B的個人信息 ...

越權訪問簡介 一般越權訪問包含未授權訪問、平行越權、垂直越權。 未授權訪問：就是在沒有任何授權的情況下對需要認證的資源進行訪問以及增刪改查。 垂直越權：通過低權限向高權限跨越形成垂直越權訪問。 平行越權，顧名思義就是同等用戶權限之下，不用進入其他用戶的賬戶也可以對別的用戶資料或者訂單等信息 ...

1. 代碼邏輯要盡量簡潔，符合處理問題的邏輯。 2. 開始寫函數時，就要考慮清楚函數需要解決的問題，函數的輸入輸出。而且函數模塊的可復用性要高。 3. 編寫代碼時，盡量先從框架入手，要具備框架思維，才能寫出漂亮的代碼。 4. 對於重復使用的模塊要將其封裝為函數或類。 5. 提升代碼能力的前提，1讀 ...

所謂的戰術是種終點式的思維。而戰略則是里程碑式的思維。后者加入了時間、變化的考量，提升了一個緯度，不得不說是種更為高級的智慧 戰略和戰術之間到底是啥區別？ 分三個層次講戰略和戰術的區別： 第一個層次的區別是，目標不同。戰術目標非常簡潔清晰，那就是要贏，最好對方全死全輸，我是全活全贏，戰略目標 ...

　　Java是一種可以撰寫跨平台應用軟件的面向對象的程序設計語言，是由Sun Microsystems公司於1995年5月推出的Java程序設計語言和Java平台，Java 技術具有卓越的通用性、高效性、平台移植性和安全性 　　Java 編程語言是個簡單、面向對象、分布式、解釋性、健壯、安全 ...