记某网站的简单逻辑漏洞 – 作者:LSone1

前言

此次漏洞挖掘是某平台上的项目,所以对相关信息会进行打码处理,仅为记录分享。

实战过程

1. 通过访问URL,首先需要进行登录才能进行更多操作。

1625103432_60dd1c48a27f8a73e5f58.png!small?1625103426696

2. 注册账号之后进行登录,以下为已登录页面。

1625103736_60dd1d78cbfcb5128fa07.png!small?1625103731036

3. 网站主要功能基本上就一个添加新的集成,首先尝试添加一个GitHub并关注其URL。

1625104492_60dd206c11dd0bd027d42.png!small?16251044861994. 此时注意到有很多的集成环境还处于未开放状态,如Office 365。

1625104793_60dd2199dc92a1cc4e3fc.png!small?1625104788010

5. 这时候就想着是否能够参照上面的URL构造出创建未开放的集成环境的URL呢?带着这个疑问进行了尝试,果然成功了。

图片[5]-记某网站的简单逻辑漏洞 – 作者:LSone1-安全小百科6. 最终,成功为当前账号创建出未开放的集成环境。

图片[6]-记某网站的简单逻辑漏洞 – 作者:LSone1-安全小百科

总结

逻辑漏洞通常是应用程序设计和实现中的缺陷,往往能引发意外行为,或绕过一些规则。

建议

应用程序在开发过程中,应该多注意逻辑上的缺陷,不然可能会导致预期外发生的行为。

来源:freebuf.com 2021-07-01 10:07:48 by: LSone1

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论