文章总结： 本文深入探讨了业务逻辑漏洞的挖掘技巧，涵盖越权修改ID、并发绕过验证码刷奖励、爆破四位验证码及利用换绑漏洞获取新人优惠等实战案例。同时介绍了使用Fofa语法搜索潜在目标的方法，旨在帮助安全人员提升在SRC活动中的漏洞发现能力。 综合评分： 76 文章分类： 漏洞分析,WEB安全,SRC活动,实战经验,渗透测试

逻辑漏洞大杂谈

原创

极光攻防

极光攻防实验室

2025年11月28日 07:56 湖南

一、逻辑漏洞简介

逻辑漏洞是业务流程设计缺陷（非代码漏洞），常见于0元购、越权、并发刷奖、换绑薅优惠等场景，易被利用薅羊毛、泄露数据，是挖 SRC 的高频靶点。

二、案例分享

2.1 投诉处的越权

自己先投诉一个，查看我的记录直接修改id

记住：这种越深层，越权漏洞越多

img

2.1 只要找对点，万物皆可并发

注册的时候，直接并发（不管验证码，直接干，up挖了不少）

img

这种看几十秒的视频就奖励积分，嘿嘿嘿（up挖到过严重）

怎么做？直接bp打开，抓到奖励（自我奖励）的数据包，直接并发，不断刷积分

img

2.3 遇到四为验证数直接爆破

向这种不是白给吗？直接上bp爆破

img

2.4 换绑不断获得新人优惠

逻辑：A手机注册一个账号（有新人优惠）->换绑成B（B为老用户，继承A原来的优惠）->A再注册一个账号（又有新人优惠）->再次换绑成B（B又获得新人优惠）

就这样唧唧复唧唧

2.5 语法捡漏

Fofa：domain=”xxx.com” && (body=”7天会员” || body=”优惠” || body=”新人”) && status_code=”200″

谷歌：site:xxx.com  intext（或者intitle）:会员|优惠|新人

img

img

有人说：这些有啥用？ 你傻呀，不会用上面招式吗？或者存在一个过期优惠还可以白嫖（哈哈哈）

更多漏洞挖掘，渗透测试学习—-》》极光攻防社区，https://jgsec.cn

局部截取_20251119_120832

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：极光攻防实验室 极光攻防《逻辑漏洞大杂谈》