皮皮宋渗透日记 09｜业务逻辑漏洞全总结：登录 / 验证码 / 支付 / 找回密码 / 越权一网打尽

大家好，我是皮皮宋～

今天我们来讲最容易被忽略、却最容易出大事的一类漏洞 ——业务逻辑漏洞。它不像 SQL 注入、XSS 有固定特征，WAF 拦不住、扫描器扫不出，全靠人工梳理流程，但一旦挖到，往往是直接拿钱、拿账号、拿数据的高危漏洞。

我把最常见、最实用、最容易挖到的业务逻辑漏洞，整理成一篇可直接拿去挖洞、面试、做笔记的完整版，新手也能看懂、能上手。

一、业务逻辑漏洞是什么？

一句话：开发者没考虑 “坏人会怎么乱点、乱改、乱重放”，只按正常流程写代码，导致流程被绕过、权限被突破、金额被篡改。

特点：

• 几乎全是人工挖掘，工具很难发现

• 危害极大：盗号、盗刷、越权、免费买东西、任意改密码

• 防御设备基本无效

• 挖洞难度低、产出高，是 SRC / 渗透测试的高分项

二、登录处逻辑漏洞（最基础、最常见）

2.1 暴力破解

没有验证码、不锁账号、不锁 IP → 直接爆破。

常见思路：

1. 单用户名 + 密码字典爆破

2. 单弱口令 + 用户名字典撞库

3. 有用户名锁定就用 “固定密码跑用户名”

4. 有 “用户名不存在 / 密码错误” 提示 → 分别爆用户名、爆密码

遇到加密：

• base64、md5 很好识别

• 爆破前先加密再提交

2.2 登出不清空 Session

登出后，旧 Session 还能用 → 抓旧 Cookie 直接登录。

三、验证码逻辑漏洞（挖洞重灾区！）

3.1 验证码不刷新

一次生成，无限次使用，抓包重放不报错。

3.2 短信 / 邮箱验证码可爆破

4–6 位纯数字，无次数限制 → 直接跑字典。

3.3 验证码回显在返回包

发送验证码后，response 直接把验证码给你，不用看手机。

3.4 修改返回包绕过验证

返回success: false→ 改成true，直接绕过。

3.5 其他高频验证码漏洞

• 验证码可重复使用

• 验证码可预测（时间戳、自增、弱随机）

• 验证码前端生成 / 前端校验

• 不传验证码、传空也能过

• 可批量发送短信轰炸

四、支付逻辑漏洞（最值钱、最高危）

4.1 修改商品 ID

A 商品价格 1 元，B 商品 100 元→ 抓包把商品 ID 从 B 改成 A →1 元买高价商品

4.2 条件竞争（并发支付）

多线程同时提交支付，余额没扣完就重复下单 →负金额购买

4.3 修改金额

金额直接在POST里→ 把999改成0.01→ 一分钱买东西

4.4 修改商品数量为负数

数量-1→ 总价变负 →倒找钱

4.5 前端限购，后端不校验

前端限制买 1 个→ 抓包改成 100 → 直接买爆

4.6 订单覆盖

放弃大额订单 → 拿小额支付成功页面 →替换成大额订单号→ 大额充值到账

五、密码找回逻辑漏洞（最容易任意改密码）

5.1 验证码漏洞（同第三节）

短信可爆破、可回显、可重放。

5.2 修改手机号 / 邮箱为自己的

找回他人密码 → 抓包把手机号改成自己的 →你收验证码，改他密码

5.3 Session 覆盖（经典逻辑漏洞）

1. 开账号 A 找回密码，到 “设置新密码” 页

2. 同一浏览器开账号 B 找回

3. 刷新 A 的页面 →成功改 B 的密码

5.4 弱 Token 爆破

重置链接token是：

• base64

• 时间戳

• 短位数随机数→ 可批量遍历，改任意人密码

5.5 直接跳过步骤

步骤 1→步骤 2→步骤 3→ 走完步骤 1，直接访问步骤 3 的 URL→ 跳过验证码重置密码

六、业务办理逻辑漏洞（越权为王）

6.1 水平越权（最常见）

A 用户的订单号 / 用户 ID 是1001→ 改成1002→看到别人的订单、信息、收货地址、手机号

6.2 篡改手机号

修改请求里的手机号 →用你的手机号收别人的验证码

七、其他高频业务逻辑漏洞（面试 + 挖洞必备）

7.1 越权类（必须背）

• 水平越权：同权限看他人信息（改 ID）

• 垂直越权：普通用户变管理员（改身份、改角色）

• 交叉越权：既改权限又改 ID

• 未授权访问：不登录就能访问接口

7.2 账户体系漏洞

• 覆盖注册

• 用户名可遍历（知道有没有这个用户）

• 密码明文 / 弱加密

• Cookie 存敏感信息、可伪造

• 手机号带+86、带空格绕校验

• 撞库、恶意锁账号

• 修改密码不验证旧密码

7.3 2FA 双因素认证漏洞

• 重置密码后跳过 2FA 直接登录

• 2FA 可爆破、可条件竞争

• 修改返回包绕过 2FA

7.4 Session 问题

Session 可预测、可爆破、可固定、可盗用

7.5 随机数不安全

• 用时间戳当随机数

• 订单号、优惠券号、用户 ID 自增 → 可遍历

7.6 接口无限制

• 无限发短信

• 无限查用户

• 无限刷优惠券

八、一句话总结业务逻辑漏洞核心思想

不按正常流程走、不按正常值传、不按正常顺序点。

• 该输验证码？我不输、我重放、我改返回包

• 该付 100 元？我改 0.01、改商品 ID、改数量

• 该看自己信息？我改 ID 看别人的

• 该一步一步来？我直接跳最后一步

只要后端没校验、没判断、没锁死，就是逻辑漏洞。

九、今日小结

业务逻辑漏洞没有复杂的代码和原理，全靠流程、经验、细心。

它是渗透测试里 “最容易出高分、最容易被忽视” 的漏洞类型。