现在的互联网网站，存在高危漏洞的很少，就算有，你也挖不到，所以重点还是在逻辑漏洞

定义

逻辑错误漏洞是指由于程序逻辑不严谨或逻辑太复杂，导致一些逻辑分支不能够正常处理或处理错误。通俗地讲:一个系统的功能太多后，程序开发人员难以思考全面，对某些地方可能有遗漏，或者未能正确处理，从而导致逻辑漏洞。逻辑漏洞也可以说是程序开发人员的思路错误、程序开发人员的逻辑存在漏洞

特性

                 非常隐蔽                       危害巨大

逻辑漏洞覆盖面很广，一直以来对于逻辑漏洞尚未产生明确的分类。其大致包括了:绕过功能限制、遍历、越权、弱口令、信息泄漏、任意用户密码重置、竞争性问题等。在一些场景下，由于功能本身设计复杂、易于出现纰漏，导致针对特定场景下的特定逻辑漏洞问题讨论，此类风险场景有:支付安全、验证码安全等。
现在的src，要挖洞排榜单前十，主要靠逻辑漏洞

挖掘逻辑漏洞步骤

发现网站所提供的功能模块。比如:修改密码、找回密码、修改密码、修改个人资料等功能
针对具体的功能确定业务流程，详细划分具体步骤，以购物为例介绍，购物流程如下
挑选商品，商品可多选;
立刻购买，在“立刻购买”按钮旁边可以选择购买数量、购买样式等;
显示购买信息，在此步骤可以给卖家留言，填写购买数量、使用优惠券、匿名购买、找人代付等;
拦截HTTP/HTTPS请求，分析其参数项的含义;修改参数值，尝试出发逻辑漏洞;
返回步骤二，对其他功能继续测试

了解生活中绕过限制的案例

身份识别限制:门锁、门禁、保险箱、人脸识别、登录密码、看门的狗
付费识别限制:点餐小票、地铁闸机、年费会员、一只干净的碗
顺序限制:号码牌、预约短信、九连环、栈与队列、弹夹、象棋规则
行为限制:法律、列车烟雾报警、围墙、屏风、足球规则

绕过限制

伪造。饭票、车票、公交卡伪造
伪装。明修栈道暗度陈仓
重用。凭证重用
重放。录音重放、信号重放
劫持。信号劫持、运输劫持
嵌套。 诱饵、货车嵌套
并行。芯片、地铁跟随
外带。ATM机
暴力枚举。破解密码
条件竞争。高铁站验票口
状态还原。购物领红包
另辟蹊径。翻窗户、拆卸车轮
局部突破。铁栅栏
宏观突破。刷票、婷羊毛
博弈突破。出租车调价案例
修改限制。 暴力开锁、收费站冲