前言
此次漏洞挖掘是某平台上的项目,所以对相关信息会进行打码处理,仅为记录分享。
实战过程
- 通过访问URL,首先需要进行登录才能进行更多操作。
- 注册账号之后进行登录,以下为已登录页面。
- 网站主要功能基本上就一个添加新的集成,首先尝试添加一个GitHub并关注其URL。
4. 此时注意到有很多的集成环境还处于未开放状态,如Office 365。
- 这时候就想着是否能够参照上面的URL构造出创建未开放的集成环境的URL呢?带着这个疑问进行了尝试,果然成功了。
6. 最终,成功为当前账号创建出未开放的集成环境。
总结
逻辑漏洞通常是应用程序设计和实现中的缺陷,往往能引发意外行为,或绕过一些规则。
免费领取学习资料 2021年全套网络安全资料包及最新面试题 (渗透工具,环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等)
建议
应用程序在开发过程中,应该多注意逻辑上的缺陷,不然可能会导致预期外发生的行为。
