测试过程中客户往往只关注高危漏洞；但对于SQL注入、文件上传、命令执行等高危漏洞关注过于偏高，反而导致逻辑漏洞被忽略。那些你认为的中、低危逻辑漏洞带来的危害有哪些？

账户注册

        同一系统中无相同账户，应用开发中会在注册账户中，账户信息输入处进行账户占用查询，部分应用未能规避敏感信息。1）账户注册->账户遍历->登录处以账户为变量爆破弱密码；2）账户注册->信息泄露->敏感信息构造密码字典->以密码为变量爆破账户密码。

信息收集

       用户名处为type1逐项绕过查询，厂家全称type2，联系人type3。

      遍历name得到账户+手机号

      绕过type=1、type=2测试type=3联系人；以上面的得到的联系人为变量查询，得到账户+手机号码+公司名称+注册地址+身份证号+电子邮箱；借助第三方平台天眼查、手机号码归属地查询、身份证号码查询、邮箱查询可得到完整信息。

验证码绕过

         以上面得到手机号码为账户，发送验证码

      构造任意验证码，爆破验证后放入到proxy中，验证码无法二次利用的情况下也可替换服务端返回包进行尝试

逻辑漏洞也可拒绝服务

       系统账户注册有一定限制，在限制之内将所有账户注册，造成合法账户无法注册从而导致拒绝服务。你认为逻辑漏洞还是中低危漏洞吗？

 总结

        无论是渗透测试还是攻防演练乃至非**侵，突破网络边界后“天高任鸟飞”，绕过登录系统何尝不是“海阔任鱼跃”；测试人员多关注一下逻辑漏洞，站长也要多注重下逻辑漏洞带来的危害！