逻辑漏洞

条件竞争

多个线程竞争同一个共享代码、变量、文件等称之为条件竞争。那么什么情况存在竞争条件?

实例:
上传文件,下面是一个上传文件的例子,上传文件之前先校验权限

#include <stdio.h>
#include <unistd.h>
#include <string.h>
#define DELAY 10000int main()
{char * fn = "/tmp/XYZ";char buffer[160];FILE *fp;long int  i;//get user inputscanf("0s", buffer );if(!access(fn, W_OK)){//simulating delayfor (i=0; i < DELAY; i++){int a = i^2;}fp = fopen(fn, "a+");fwrite("\n", sizeof(char), 1, fp);fwrite(buffer, sizeof(char), strlen(buffer), fp);fclose(fp);}else{printf("No permission \n");}
}

从例子看并没有看出什么,可是对于专业安全人员来说,什么程序就是一个很典型的竞争条件。分析一下,首先上传文件之前会进行权限校验,然后才可以上传,在校验权限直接存在一个时间差,在这个时间差直接就可以形成一个竞争条件,黑客完全可以利用这个竞争条件,在时间差,暴露破解,不断发请求上传文件,竞争上传文件,当然黑客上传的不是正规文件,一般都是一些脚本木马。

渗透测试工具

渗透测试工具:BurpSuite(数据包抓取)
渗透测试Burp的intruder功能实现多个并发请求

逻辑漏洞分类

暴力破解
越权漏洞
条件竞争

安全案例

密码重置
邮箱找回:分析token构造,时间戳md5值
MD5(time+username)

验证码方式找回:
防御:设置更复杂的验证码,设置时间

验证身份->修改密码界面(session,验证身份用户到修改密码界面是同个用户)

越权漏洞

越权漏洞:平行越权,垂直越权

平行越权:用户的等级相同进行越权

用户A,B:普通用户
用户C:管理员用户

A->B:平行越权

A->C:垂直越权

例子:购物车 订单信息例子

越权漏洞测试挖掘,查订单操作,修改个人信息

  • 鉴权参数,accountId
  • 操作:抓包->鉴权参数

相关名词:
ECB模式
分组加密模式
Hash碰撞
数字签名

网络安全系列之培训笔记整理相关推荐

  1. 《繁凡的深度学习笔记》前言、目录大纲 一文让你完全弄懂深度学习所有基础(DL笔记整理系列)

    <繁凡的深度学习笔记>前言.目录大纲 (DL笔记整理系列) 一文弄懂深度学习所有基础 ! 3043331995@qq.com https://fanfansann.blog.csdn.ne ...

  2. 一文让你完全弄懂逻辑回归和分类问题实战《繁凡的深度学习笔记》第 3 章 分类问题与信息论基础(上)(DL笔记整理系列)

    好吧,只好拆分为上下两篇发布了>_< 终于肝出来了,今天就是除夕夜了,祝大家新快乐!^q^ <繁凡的深度学习笔记>第 3 章 分类问题与信息论基础 (上)(逻辑回归.Softm ...

  3. 一文让你完全弄懂回归问题、激活函数、梯度下降和神经元模型实战《繁凡的深度学习笔记》第 2 章 回归问题与神经元模型(DL笔记整理系列)

    <繁凡的深度学习笔记>第 2 章 回归问题与神经元模型(DL笔记整理系列) 3043331995@qq.com https://fanfansann.blog.csdn.net/ http ...

  4. Deep Learning(深度学习)学习笔记整理系列之(五)

    Deep Learning(深度学习)学习笔记整理系列 zouxy09@qq.com http://blog.csdn.net/zouxy09 作者:Zouxy version 1.0 2013-04 ...

  5. Deep Learning(深度学习)学习笔记整理系列之(二)

    Deep Learning(深度学习)学习笔记整理系列 zouxy09@qq.com http://blog.csdn.net/zouxy09 作者:Zouxy version 1.0 2013-04 ...

  6. Deep Learning(深度学习)学习笔记整理系列之(八)

     Deep Learning(深度学习)学习笔记整理系列之(八) 分类: Deep Learning 机器学习 Linux驱动2013-04-10 11:4257652人阅读评论(25)收藏举报 ...

  7. Deep Learning(深度学习)学习笔记整理系列三

    Deep Learning(深度学习)学习笔记整理系列 声明: 1)该Deep Learning的学习系列是整理自网上很大牛和机器学习专家所无私奉献的资料的.具体引用的资料请看参考文献.具体的版本声明 ...

  8. Deep Learning(深度学习)学习笔记整理系列之常用模型

    Deep Learning(深度学习)学习笔记整理系列之常用模型(四.五.六.七) 九.Deep Learning的常用模型或者方法 9.1.AutoEncoder自动编码器 Deep Learnin ...

  9. Deep Learning(深度学习)学习笔记整理系列之(七)

    Deep Learning(深度学习)学习笔记整理系列 zouxy09@qq.com http://blog.csdn.net/zouxy09 作者:Zouxy version 1.0 2013-04 ...

  10. 【转载】Deep Learning(深度学习)学习笔记整理系列

    Deep Learning(深度学习)学习笔记整理系列 zouxy09@qq.com http://blog.csdn.net/zouxy09 作者:Zouxy version 1.0  2013-0 ...

最新文章

  1. 赠票 | 相约乌镇!世界互联网大会大数据与AI赋能实体经济论坛
  2. Makefile 实现工程的本地部署
  3. 实用知识点梳理:BGP协议、调制解调技术、路由特点、VOIP、FTP、Cookie、滑动窗口协议与自动重传请求
  4. Java——集合(TreeSet)
  5. linux获得系统时间 c,linux c 获取系统时间
  6. 2021 npm安装Electron失败解决方法
  7. 汽车距离报警系统c语言编程,基于单片机的超声波汽车报警系统的设计
  8. C51单片机————汇编与C语言
  9. 分布式红锁的leaseTime的设计原理
  10. 什么情况下document.write会覆盖页面及覆盖原理解释
  11. ffmpeg yuv数据存储方式_一文理解 YUV
  12. 单片机交通灯灯c语言程序,51单片机控制交通灯原理图及C语言程序
  13. 天猫魔盒android开发者模式,【当贝市场】天猫魔盒M16S开启远程调试模式教程
  14. 最全最简单的dubbo教程-开篇《一》
  15. endnotex7 + word2016 高效管理参考文献
  16. MT4API外汇跟单软件使用分享
  17. java下载excel模板文件
  18. 自然科学 计算机,自然科学计算器:Natural Scientific Calculator
  19. 免费网站建设应该要掌握哪些?
  20. ffmpeg所有的解码器(decoders)

热门文章

  1. IC卡读写器c++builder源代码续
  2. 服务器wifi模块通讯协议,WiFi模块 TCP/IP协议栈
  3. java如何通过拼音搜索功能_如何实现拼音搜索
  4. 斐讯路由器k3c虚拟服务器,斐讯K3C路由器32.1.26.175如何打开telnet升级到官改固件教程...
  5. PLSQL导入导出表数据、表结构
  6. PDF在文字方面的一个缺陷
  7. 07 第三方之文件上传
  8. 计算机考研数学英语政治考啥,2016年考研数学一英语一政治计算机考研大纲原文合集.docx...
  9. idea 阿里巴巴代码规范插件使用
  10. 电脑ps计算机磨皮,ps磨皮教程