逻辑漏洞是什么?一款产品的实施,总会有很多逻辑包含在其中,比如一个网购网站,他需要哪些特性,
货物展示,货物分类搜寻,货物购买等。商品管理,订单处理,相应反馈处理等网站后台管理。管理的主要内容有:个人用户管理,用户注册,用户登录处理,用户个人资料编辑,收发地址管理,订单管理。它是一个基于网购平台的网站,简单地用技术的角度来描述,你买了一件商品,其中用了多少技术。
我准备开一个网购网站,最基本的是先有一个域名,一个服务器,服务器上安装了相应的php服务器软件,比如apache(php服务器软件)+php(web脚本语言)+mysql(数据库)。接口演示,需要进行接口演示的前端开发,需要进行接口演示的前端开发人员所了解的技术,html+css+javascript+ps等等,为了适应移动端或技术升级,还需要进行html5+css3+jquery等一些前端常用框架,还需要尽量使前端浏览器处理的首屏更快,还需要有一定的设计能力,使界面看起来更美观,用户打开浏览器看到的页面都是通过这些技术实现的。
后端开发,根据业务场景情况,选择最佳的后端开发语言,例如php,用于业务。odejs\jsp\aspx\asp\其他webcgi等等,只要选择php就行了,高级后端开发人员必须要开发框架,请参考现阶段国内外PHP最受欢迎的30个框架ThinkPHP,后面一种主要是为了实现业务逻辑,比如表单操作多、商品搜索、用户登录、购买、个人信息修改、商品修改等,这些都需要通过前端页面通过http/s协议转移到后端,通过php等后端开发语言进行处理。
建立数据库,根据业务场景情况,最佳地选择适合企业的数据库,数据库分为sql数据库,如MySQL\SQLserver\Oracle\PostgrcSQL等,nosql数据库Mongodb\Redis等,用户提交的数据保存在这些数据库中,如账号密码、个人信息、订单信息等,由管理员管理的商品信息也保存在数据库中,通过脚本语言的逻辑处理调用数据库中的数据显示到前端页面。
另外,要选择一个可靠的php服务器,比如apache\iis\Nginx\Lighttpd\Tomcat等其他php服务器软件,还要考虑到并发、扩展、灾难处理等相应的技术问题,面对1w用户10w用户100万的用户1000甚至上亿,都有最优的应对策略和方法策略,当然,这也是架构师、全栈开发人员所要考虑的,我们web黑盒测试的漏洞挖掘选手,只要考虑一下,这些过程中的这些点,在那些地方,最容易出现漏洞?
由于有了这些特性,因此存在着漏洞,需要使用数据库的web业务很有可能出现sql注入,需要进行文件操作或执行系统命令时,就会出现命令注入或任意文件操作的漏洞,信息管理系统自然会有信息泄漏的风险。
到底,什么是逻辑漏洞呢?例如登陆功能,我通过技术手段,未经允许登陆到其他用户或管理员的账号,那么这肯定是有漏洞的.