| 通用业务模块 | 业务逻辑漏洞 |
|---|---|
| 登录 | 暴力破解用户名密码 |
| 撞库 | 验证码爆破和绕过、手机号撞库、账户权限绕过 |
| 注册 | 恶意用户批量注册、恶意验证注册账户、存储型XSS |
| 密码找回 | 重置任意用户账户密码、批量重置用户密码、新密码劫持、短信验证码劫持、用户邮箱劫持篡改 |
| 后台管理 | 管理员用户名密码绕过、目录遍历 |
| 会员系统 | 用户越权访问、个人资料信息泄漏、个人资料遍历 |
| 传输过程 | COOKIE注入、COOKIE跨站、COOKIE劫持、明文传输 |
| 评论 | POST注入、CSRF、存储型XSS、遍历用户名 |
| 通用业务模块 | 业务逻辑漏洞 |
|---|---|
| 登录 | 暴力破解用户名密码、撞库、验证码爆破和绕过、手机号撞库、账户权限绕过 |
| 注册 | 恶意用户批量注册、恶意验证注册账户、存储型XSS |
| 密码找回 | 重置任意用户账户密码、批量重置用户密码、新密码劫持、短信验证码劫持、用户邮箱劫持篡改 |
| 购买支付 | 商品金额篡改、商品数量篡改、交易信息泄漏 |
| 充值 | 虚假充值金额、充值数量篡改、篡改充值账户 |
| 抽奖/活动 | 刷取活动奖品、盗刷积分、抽奖作弊 |
| 代金券/优惠券 | 批量刷取代金券/优惠券、更改代金券金额、更改优惠券数量 |
| 订单 | 订单信息泄漏、用户信息泄漏、订单遍历、合同遍历、银行卡信息遍历 |
| 账户 | 账户绕过、账户余额盗取、账户绑定手机号绕过 |
| 会员系统 | 用户越权访问、个人资料信息泄漏、个人资料遍历 |
| 传输过程 | COOKIE注入、COOKIE跨站、COOKIE劫持、明文传输 |
| 评论 | POST注入、CSRF、存储型XSS、遍历用户名 |
| 通用业务模块 | 业务逻辑漏洞 |
|---|---|
| 登陆 | 暴力破解用户名密码、撞库、验证码爆破和绕过、手机号撞库、账户权限绕过 |
| 注册 | 恶意用户批量注册、恶意验证注册账户、存储型XSS |
| 密码找回 | 重置任意用户账户密码、批量重置用户密码、新密码劫持、短信验证码劫持、用户邮箱劫持篡改 |
| 购买支付 | 商品金额篡改、商品数量篡改、交易信息泄漏 |
| 抽奖/活动 | 刷取活动奖品、盗刷积分、抽奖作弊 |
| 代金券/优惠券 | 批量刷取代金券/优惠券、更改代金券金额、更改优惠券数量 |
| 订单 | 订单信息泄漏、用户信息泄漏、订单遍历、收货地址遍历 |
| 账户 | 账户绕过、账户余额盗取、账户绑定手机号绕过 |
| 抢购活动 | 低价抢购、抢购作弊、刷单 |
| 运费 | 运费绕过 |
| 会员系统 | 用户越权访问、个人资料信息泄漏、个人资料遍历 |
| 传输过程 | COOKIE注入、COOKIE跨站、COOKIE劫持、明文传输 |
| 评论 | POST注入、CSRF、存储型XSS、遍历用户名 |
| 第三方商家 | 盗号、商家账户遍历、越权访问其他商家用户 |
| 通用业务模块 | 业务逻辑漏洞 |
|---|---|
| 登录 | 暴力破解用户名密码、撞库、验证码爆破和绕过、手机号撞库、账户权限绕过 |
| 注册 | 恶意用户批量注册、恶意验证注册账户、存储型XSS |
| 密码找回 | 重置任意用户账户密码、批量重置用户密码、新密码劫持、短信验证码劫持、用户邮箱劫持篡改 |
| 后台管理 | 管理员用户名密码绕过、目录遍历 |
| 业务查询 | 恶意查询、办理人信息泄漏 |
| 业务办理 | 顶替办理、绕过业务流程办理、篡改其他办理人信息、办理人信息泄漏 |
| 传输过程 | COOKIE注入、COOKIE跨站、COOKIE劫持、明文传输 |
| 评论 | POST注入、CSRF、存储型XSS、遍历用户名 |
特殊参数,很有可能就是这些特殊参数`决定了业务步骤。数字+字母尝试绕过