漏洞和自動化腳本的區(qū)別

什么是漏洞?漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。摘取其中的三個關(guān)鍵點：1、系統(tǒng)缺陷2、能被未授權(quán)利用3、利用后能達到某種目的或效果我們來舉幾個利用漏洞買月餅的思路（漏洞實例與截圖均來自于互聯(lián)網(wǎng)）：1、篡改金額實例：某平臺訂單支付時的總價未驗證漏洞（支付邏輯漏洞）很多系統(tǒng)在設(shè)計的時候，未對商品的價格進行校驗。導(dǎo)致你提交的購買的http包內(nèi)說這個商品價格多少錢，系統(tǒng)就會認為這個商品多少錢。從而造成漏洞。比如說，你在某個平臺購買了一個商品，價值21元，然后點擊確認，會跳轉(zhuǎn)到第三方平臺進行支付。在這個跳轉(zhuǎn)的過程中，截獲http包，在數(shù)據(jù)包中找尋代表金額價格的參數(shù)字段，修改參數(shù)值，比如改為1。如果系統(tǒng)未做校驗，那么最終支付的價格就是1，也就是你可以花一塊錢，買到21塊甚至更高價格的商品。最終支付的價格你也可以改成0，甚至改成負數(shù)，有的系統(tǒng)做的不好，在用系統(tǒng)幣購買東西的時候?qū)⒔痤~改成負數(shù)，反而會造成你賬號內(nèi)的余額增加的情況。2、篡改商品編號實例：某積分商城支付漏洞再繞過比如說現(xiàn)在商城有好多種商品，有的隨便什么人都可以買，有的需要注冊會員可以買，那么這種情況下，如果系統(tǒng)權(quán)限校驗的不好，那么我就可以通過在商城中買low點的商品，然后截獲網(wǎng)絡(luò)包，在網(wǎng)絡(luò)包中更改商品類型，把low的商品改成高級的商品，從而繞過普通人不能購買高級商品的限制。在商城中看中了一個高級的鼠標(biāo)，但是需要30積分積分不夠，無法購買，先買一個低積分的商品，然后修改商品id，換成鼠標(biāo)的id購買成功。3、業(yè)務(wù)亂序，繞過支付步驟實例：某分站邏輯錯誤可繞過支付直接獲得取票密碼比如說，一次正確的購買步驟包括：1、提供相關(guān)信息，包括賬號，商品2、進行支付3、支付成功，返回交易憑證。如果業(yè)務(wù)邏輯處理的不好，第三步返回交易憑證的時候，系統(tǒng)沒有對支付是否成功進行校驗，那么就可以構(gòu)造數(shù)據(jù)包，直接跳過支付過程，獲取交易的憑證。在系統(tǒng)上購買了兩張電影票截包，修改字段，跳過支付步驟直接跳回到取票頁面凡是利用支付漏洞或者業(yè)務(wù)邏輯漏洞來獲利的情形，必然都會滿足系統(tǒng)本身存在缺陷，利用過程存在未授權(quán)情況，利用者通過使用缺陷獲利或達到目的這三個特征。那么什么是自動化腳本呢?自動化腳本，就是通過編寫代碼，將本來需要認為進行的重復(fù)操作，通過代碼來自動進行。它在很多情況下，是不涉及系統(tǒng)缺陷的利用的，只是將人需要進行的手工操作，通過機器來進行了自動化而已，是程序猿提高日常工作效率的一種常見手段。比如：老板讓我給他一個從0計數(shù)到1000的文件，我當(dāng)然不可能1,2,3…一個數(shù)字一個數(shù)字打進去,那得打到什么時候啊，我肯定用程序循環(huán)遞增然后把結(jié)果寫入文件。withopen('result.txt','wb')asf:foriinrange(1,1001):f.write(str(i)+'\n')這就可以稱得上是自動化腳本了!涉及漏洞嗎?不涉及!涉及系統(tǒng)缺陷嗎?不涉及!他只是程序猿通過編碼，讓機器代替人手動的重復(fù)工作而已!再比如，我想每天盡早的看到了輪子哥今天帶逛了什么內(nèi)容，我當(dāng)然不可能時時刻刻的去刷輪子哥的timeline對不對?那我可以寫個代碼啊，每10分鐘去抓一次輪子哥主頁的內(nèi)容，看看有沒有更新，如果有，看看更新里有沒有圖片，如果有圖片，把圖片存下來，并且給我發(fā)送提醒。（下個月有空了真可以考慮開發(fā)一個。。）這叫自動化腳本!它的本質(zhì)是通過代碼讓機器代替人工!科普完了，說點感想，以下感想均為個人看法，不代表團隊觀點，請勿曲解。我覺得，現(xiàn)在大眾的眼中，安全人員被妖魔化了，一看到安全人員就會覺得渾身緊張，仿佛安全人員動不動就能盜刷你銀行卡，看你微信，霸你房產(chǎn)，搶你老婆。所以啊，恨不得你們這群人都被栓的死死的才好，這樣我才能人財“安全”。那么為什么會出現(xiàn)這種偏見呢，還是安全常識及相關(guān)知識普及的不夠。因為不