记某网站的简单逻辑漏洞 – 作者:LSone1

前言

此次漏洞挖掘是某平台上的项目，所以对相关信息会进行打码处理，仅为记录分享。

实战过程

1. 通过访问URL，首先需要进行登录才能进行更多操作。

2. 注册账号之后进行登录，以下为已登录页面。

3. 网站主要功能基本上就一个添加新的集成，首先尝试添加一个GitHub并关注其URL。

4. 此时注意到有很多的集成环境还处于未开放状态，如Office 365。

5. 这时候就想着是否能够参照上面的URL构造出创建未开放的集成环境的URL呢？带着这个疑问进行了尝试，果然成功了。

6. 最终，成功为当前账号创建出未开放的集成环境。

总结

逻辑漏洞通常是应用程序设计和实现中的缺陷，往往能引发意外行为，或绕过一些规则。

建议

应用程序在开发过程中，应该多注意逻辑上的缺陷，不然可能会导致预期外发生的行为。

来源：freebuf.com 2021-07-01 10:07:48 by: LSone1