学习逻辑漏洞一Web 安全业务逻辑漏洞网安重点渗透必考核心定义代码语法无报错、无注入 XSS 等基础漏洞但业务流程设计逻辑缺陷可越权、篡改金额、无限薅羊毛、绕过校验。1. 越权漏洞最高频水平越权同权限用户访问他人数据场景订单接口/order?uid1001修改 uid1002 查看别人订单。修复后端校验当前登录用户 ID不从前端直接取值。垂直越权低权限账号操作管理员功能场景普通用户抓包访问/admin/userlist直接查看后台。修复接口统一鉴权角色权限。2. 支付逻辑漏洞高危可薅钱金额前端可控下单时 price99 抓包改成 0.01支付低价买高价商品。修复金额、商品单价后端写死校验拒绝前端传价。重复支付 / 重复下单无订单状态锁刷新页面多次扣款、多发货。优惠券叠加逻辑缺陷满减券 无门槛券无互斥限制抵扣后金额为负数平台倒贴。退款逻辑漏洞收货后全额退款商品不用退回多次提交退款申请重复到账。3. 验证码 / 短信逻辑漏洞验证码不校验有效期、可重复使用验证码返回前端明文响应包直接看到 code:888888无频率限制无限刷短信轰炸他人手机号绕过验证码提交参数codenull/ 删除 code 参数直接登录4. 密码找回逻辑漏洞用户 ID 可控遍历他人手机号重置任意账号密码找回凭证token无时效、无绑定设备仅校验手机号不校验实名 / 身份证。5. 注册逻辑漏洞手机号可重复注册无限注册小号薅新人福利身份证、实名信息前端校验后端不二次核验。6. 上传逻辑漏洞逻辑绕过前端限制 jpg/png抓包修改后缀、修改 Content-Type 绕过上传木马。7. 订单 / 活动薅羊毛类逻辑活动无用户参与次数限制无限刷奖励客户端控制抽奖概率抓包修改 100% 中奖分享活动仅前端记录分享次数抓包改 count999 直接领奖。8. 会话逻辑漏洞Session 未绑定 IP、设备劫持 cookie 即可登录修改密码后旧 session 不失效老 cookie 仍能访问账号。9. 接口重放漏洞无请求唯一标识nonce、timestamp 签名抓包重复发包重复生效重复下单、重复提现。10. 业务绕过例购买会员需要支付抓包修改订单状态statuspaid直接开通视频付费观看前端校验 is_vip0抓包改为 1 解锁全部视频。二学习路线阶段 1基础逻辑思维熟记上面 12 种基础逻辑谬误练习刷辩论、短视频评论找出对方逻辑漏洞读物《简单的逻辑学》入门。阶段 2Web 业务逻辑漏洞前置基础HTTP 抓包Burp Suite、前后端交互流程逐个吃透每类漏洞原理 复现场景本地靶场练习WebGoat内置逻辑漏洞关卡DVWA、Pic 靶场、自建简易商城测试支付逻辑实战思路抓包后修改所有前端可控参数id、price、count、status、code、is_vip观察后端是否拦截。阶段 3漏洞挖掘实战技巧通用测试流程注册、登录 → 测试越权修改 ID 类参数短信 / 验证码页面 → 测试复用、爆破、明文泄露支付、订单、优惠券 → 修改金额、叠加规则、重复提交活动、抽奖、新人福利 → 次数限制绕过找回密码、实名 → 遍历用户、绕过校验所有接口重复发包测试重放漏洞阶段 4漏洞修复方案通用修复原则所有核心数据后端校验不信任前端任何输入关键操作增加签名、时间戳、随机防重放参数统一权限中间件每个接口强制鉴权用户身份 角色验证码设置 5 分钟有效期、单账号每日上限、单次失效业务状态流转加锁订单未支付→已支付→已发货单向流转不可逆向篡改敏感操作退款、改密二次验证短信 / 人脸