根據一篇文章學習邏輯漏洞

 本來今天下午第一節是馬克思，可是我日常中午不回宿舍，因而我睡過了。(嚶嚶嚶）

　　https://www.freebuf.com/column/162397.html

根據這篇文章，咱們能夠總結出在

1. 前端加密(通常都是帳號不加密，密碼加密)的狀況下，咱們能夠經過密碼反向導出帳號，這個我已經會了，這個就是爲啥我能免費上網的緣由。。

2.若是一個郵箱在找回密碼的時候，要注意url是否含有找回郵箱的帳號，打個比方，我想用個人帳號找回密碼的時候，發現能夠用個人手機找回其餘人的密碼。這個漏洞利用的後端開發的時候沒有對手機號和郵箱進行雙重驗證，要找個郵箱和手機號匹配上才能構成重置密碼。ps:估計開發的人當初這樣想的，找個帳號先存在，而後呢手機號必須保證正確，好了，完事，上線，上線，完工啦。這個漏洞很長時間沒有見過了，放到幾年前可能會有，可是如今通常都不會有了吧。。(果真我仍是太菜了，不能分享出一些乾貨(菜雞落淚)

3.burp那個沒看懂意圖。。。

 

4.注入，管理員登陸的地方注入，這個我可碰見過了，有注入，這個我打比賽到時候遇見過一次，千萬千萬別隻嘗試註冊就放棄了，還有登陸功能要嘗試啊。唉，一把心酸淚。。。

 

總結完畢

 

ps:深信服的防護就是好啊，稍微一點探測就被限制了，就404了

 

深夜再次根據freebuf裏面的一篇文章學習下

https://www.freebuf.com/articles/web/151617.html

在設計購買請求的時候，必定要設置要必須爲正數，要否則就會產生0元支付問題，相關漏洞，有空就復現

burp還能夠生成csrf-poc  這個真的是學習到了，以前我還覺得csrf必須是本身構建的才能是能夠生成poc，沒想到還能夠是用burp。不過burp生成的是poc對現實生活中只能是給用戶演示吧，仍是用exp比較爽啊。這個要記錄下，回頭復現的時候，我要多多用到。把這些總結總結，估計之後我再會回顧的時候，仍是會看到的。