笔者前言:作为一名学生，每日就是学习，平常偶尔挖挖漏洞，看到过各种奇葩漏洞，于是便有了这样一篇文章。以下文章均有本人测试发现打码，各位师傅可以一起学习，侵删！

逻辑漏洞：

常见的逻辑漏洞：

交易支付，密码修改，密码找回，越权修改，越权查询，，突破限制等各种逻辑漏洞

不安全的对象引用指的是平行权限的访问控制缺失

A,B同为普通用户，他们之间彼此之间的个人资料应该相互保密的，

A的资料如果被B用户利用程序访问控制的缺失而已查看，这就是平行权限的关系。

功能级别访问控制缺失指的是垂直权限的访问控制缺失

A是普通用户，B是管理员，B的页面登录访问需要密码和token.

A账号能直接输入管理页面URL的方式绕过管理员登录限制查看管理员页面，这个时候A,B就是垂直关系。

案例如下：

此次为大家带来的案例是一个学习网站，这个网站分4种登录用户，管理与以及学生，老师，家长用户，

管理用户可以改修后台数据，

而此次漏洞属于逻辑漏洞是由自动审核机器人导致的

渗透测试思路:

我对目标网站简单了看了看，主页没发现什么漏洞！可能是我太菜了，师傅们勿喷！

直接上啊D，明小子，awvs一顿扫描

结果啥也没扫到，awvs扫的高危都是乱码，对域名，cms，指纹扫描，子域名扫描。没利用价值，那就开始手工大法

用谷歌，bing 找到了几个注入点。发现一个注册页面‘这不就机会来了，弄了虚假的信息直接可以登录，

这真的是白送的漏洞直接cnvd提交

后记

这是我第一次写文章，写的不好，抱歉，还请各位师傅多多包容，我会再接再厉的，

神兵虽好，终是身外之物。要有所得，看文章，多复现，找思路，写文章。多加勉励吧！少年，国家安全需要你的守护！--⁵ᴳ  ?id=1