Web 安全恩仇录:再谈逻辑漏洞

作者/分享人:肖志华
ID:rNma0y,信安自学,白帽子。撞过很多坑,跌撞复前行。研究方向web安全,反黑产。熟悉Web安全攻击及防御技术,现惊龙安全团队负责人(诚寻Web安全方向的朋友一同发展,有兴趣可带上简历与我联系或者发送邮件至:web@secus.org)

江湖大道险恶,武林各派不断在切磋琢磨。这边吃我一招乌鸦坐飞机(…)那边就来一记力劈华山。俨然一派江湖相。可你知道攻防人员也有江湖?加之我本人是个金庸古龙迷,便将这命名为“Web 安全恩仇录”顺带各位来看看该领域的各行武林。如果有精力,我将会持续输出 Web 安全恩仇录体系文章。

以前看了汤青松老师分享的《Web安全:聊聊密码找回》,非常好的一篇文章,推荐看看。里面汤老师讲了 Web 开发中的“密码找回”漏洞,这就是一个逻辑漏洞。

逻辑漏洞不单单是密码找回,同时还可以出现在“一元购买跑车”这种场景下,都是 Web 程序的“逻辑”出了问题。逻辑漏洞比例如 SQL 注入漏洞难修也难防,因为问题出在底层代码上。本场 Chat 我将分享逻辑漏洞的相关内容,如:

  1. 订单任意金额修改
  2. 越权访问
  3. 密码找回
  4. 用户凭证等相关问题
    ……
已有213人预订
预订达标
文章出炉
交流日期
     
12月05日
12月19日
12月26日
预订后,您将在12月19日之前获得一篇专享文章,并在12月26日前参与一场为本文作者和读者定制的长达60分钟的专属线上交流,您还将获得一张肖志华的读者圈Pass
请务必添加GitChat服务号以查看活动进度及获取活动通知。
退款保证:
• 12月06日前,预订人数未达标,您将获得全额退款。
• 作者未按时完成文章,您将获得全额退款。
• 作者未按时间进行分享,您将获得全额退款。
• 读者圈Pass的有效期为6个月。
你可能还喜欢
Service Mesh 在华为公有云的实践
田晓亮
从零开始,搭建 AI 音箱 Alexa 语音服务
Mike
编程和数学基础不佳如何入门人工智能?
赵宁|Neal
如何用 Vue 实现前端权限控制(路由权限 + 视图权限 + 请求权限)
雅X共赏
智能增长:如何用大数据和人工智能实现业务体量的增长
蒋凡
有关 Mock 的是是非非
思考的犀牛
中国码农在硅谷:求职流程与经验分享
Mario
如何用 TypeScript 编写 Vue 项目
hans
深入理解 MySQL 底层实现
默默
如何零基础搭建一套微服务框架(Spring Boot + Dubbo + Docker + Jenkins)
大闲人柴毛毛
投资与创业:程序猿如何改变世界
丹华CFA
Serverless/FaaS 的现状与未来
王渊命
如何在十天内读完《算法导论》的基础算法部分?
一个不奇怪的微信网名
知名互联网公司校招 Java 开发岗面试知识点解析
我是最强青铜杨小强
如何成为一名出色的互联网产品经理
Kings
微信扫描登录