有哪些常見的邏輯漏洞

常見的邏輯漏洞有以下這些：

• 注冊覆蓋漏洞：注冊重復用戶名對真實用戶數據進行覆蓋，對于注冊頁面覆蓋注冊是指原來用一個手機號已經注冊了賬號，但是由于漏洞，導致可以再利用該手機號進行注冊，并且會將之前注冊的記錄覆蓋。

• 注冊遍歷漏洞：進行注冊的時候注冊重復的用戶名會提示用戶名已被注冊，利用該漏洞可以猜測用戶名。

• 登陸認證繞過漏洞：一般登陸界面登陸成功后會進行跳轉到主頁面，但是如果沒有對其進行校驗的話，可以直接訪問主頁面繞過了登陸認證。登陸狀態如果只以登陸狀態碼進行判斷登陸成功標識，那么修改登陸狀態碼就能進行登錄。

• 驗證碼漏洞：這種漏洞是因為沒有對數據進行加密，導致驗證碼一般直接出現在html源碼中或者隱藏在Cookie中，如果是圖形驗證碼則是因為沒有對圖片進行模糊處理導致可以利用腳本直接識別，還有少部分驗證碼只要網頁不刷新驗證碼就能重復被利用，這些情況都可以導致用戶信息泄露或者服務器失控。

• 短信驗證碼漏洞：如果服務端未對短信驗證碼的驗證時間或者次數進行限制，那么我們就可以利用其進行爆破。一般來說短信驗證碼僅能供自己使用一次，如果驗證碼和手機號未綁定也會導致這種漏洞的產生。

• 越權修改密碼：有時候開發再寫代碼時，會直接用到某一參數直接調取該參數對應的數據，而再調用時并不考慮當前登陸用戶是否有權限調用。這就導致了，可以利用抓該包工具，將傳遞給后臺的數據進行修改，修改后可以查看原本自己沒有權限看到內容。

解決web應用出現邏輯漏洞的方法有以下這些：

• 確保將應用程序各方面的設計信息清楚、詳細地記錄在文檔中，以方便其他人了解設計者做出的每個假設。同時將所有這些假設明確記錄在設計文檔中。

• 要求所有源代碼提供清楚的注釋，并經過代碼審計；

• 在以安全為中心的應用程序設計審核中，考慮在設計過程中做出的每一個假設，并想象假設被違背的每種情況。尤其應注意任何應用程序用戶可完全控制的假定條件。

• 在以安全為中心的代碼審查中，從各個角度考慮以下兩個因素，一是應用程序如何處理用戶的反常行為和輸入，二是不同代碼組件與應用程序功能之間的相互依賴和互操作可能造成的不利影響。

回答所涉及的環境：聯想天逸510S、Windows 10。