我是如何发现一个简单的应用程序逻辑漏洞

作者：Yusuf 发布时间：11小时前

大家好，我是Yusuf。今天我将分享如何发现一个应用程序逻辑漏洞，该漏洞允许我绕过多因素认证（MFA）。

漏洞描述

我在一个较老的漏洞赏金项目中进行安全测试。该应用程序要求用户输入通过邮件发送的验证码作为第二因素认证。当我提交一个随机验证码（例如1234567）时，应用程序如预期返回"无效代码"的提示信息。但是，当我再次提交相同的随机验证码，重新加载页面，点击浏览器后退按钮，然后再次重新加载页面后，应用程序竟然成功让我登录了系统。

影响分析

验证绕过使得攻击者无需合法的验证码即可获得账户访问权限。

经验教训

始终保持创新思维
在进行安全测试时要采用不同的思考方式
有时异常的UI操作流程（重新加载/后退按钮）会暴露出逻辑漏洞

图片描述

互动反馈

T3chnocr4t（8小时前）： mashaAllah，期待兄弟更多分享

回复：感谢支持！

查看更多Yusuf的文章
Medium推荐阅读

我是如何发现一个简单的应用程序逻辑漏洞的

本文详细描述了作者在漏洞赏金项目中发现的应用程序逻辑缺陷，通过简单的页面刷新和后退操作成功绕过多因素认证机制，实现了账户未授权访问。这种非常规测试方法揭示了业务逻辑漏洞的危害性。