【SRC业务逻辑漏洞】你的疑惑，我来为你解答

02

"韭菜"不再仅仅是一种蔬菜！

大家刚接触这一行的时候，肯定都是对“黑阔”的憧憬，以及各种酷炫的操作所吸引，当真正走进这一行时，又发现浮夸的东西又太多太多，很容易迷失于其中，所以有时安全圈又被戏称为“娱乐圈”，比如：“抖音黑阔”、“Kali带你快速入门网络安全”等等，太多太多来误导新手小白的短视频，导致很多小伙伴想要学习真正有用的东西却无门可入，“韭菜”一词也就因这应运而生，不再是单单只代表是一种蔬菜了。多少小伙伴以为自己真正走进了安全的大门，蹉跎了岁月，回头才发现自己原来被“割韭菜”，原本简单的学习，被赋予高额的本钱，还无法胜任未来的工作，我虽很痛心，但我无力改变，只能尽自己最大的能力来帮助大家。

03

什么是业务逻辑漏洞？

咱们一开始大多数人都是从SQL注入、XSS等各种top10漏洞，以及各类靶场学习，如果在10年前，那你只学习这些真的够了，但时代在发展，攻击手法，各种维度都在变大，网络安全的地位也上升了无数个台阶！从前，你干网络安全，家里人问到的时候，你解释半天，家人也不懂，还吐槽你一句，别说了，我只知道你一回家，电表走的飞快，到最后，你只能说我是网管，局面这就很尴尬了。

但目前不仅仅是有SQL注入这种常规漏洞，还有各种各样的业务逻辑漏洞，甚至云安全的各种漏洞，如果你只是学了常规漏洞，但现在各种waf，各种安全设备，甚至有些安全设备变态起来，连自己都打！那你如何应对呢？如果你在一个企业里面当安服仔，公司客户暴露在公网上资产业务特别多，你要是不懂挖掘业务逻辑漏洞，你甚至连基本的工作都不能胜任，各种投诉、通报就接踵而来，咱们有句话是这么说的：

你可以摸鱼，但你不能是真的菜！

所以咱们不仅仅要学习常规漏洞，也要学习业务逻辑漏洞，那么什么是业务逻辑漏洞呢？ 大家只需要简单记住我为大家总结的这两句话就可以了：

不符合业务逻辑的地方，都是逻辑漏洞！

漏洞来源于危害，没有危害那只是BUG！

因为业务逻辑漏洞它不仅仅是越权，不仅仅是支付，不仅仅是任意用户等等，只要这个地方原本是你不可操作的，但你通过一些技巧却能进行一些未授权的操作，那么这就可称为：业务逻辑漏洞！！！

那么既然是漏洞，那就必须要有危害，如果你提交一个漏洞，它只是让你操作不便，并不能对别人造成损失，那么你这种就只能是BUG！

所以小伙伴们，你们懂了吗？