黑客攻防技术宝典 — Notes 8 针对程序逻辑的攻击

开发人员喜欢做一些假设，而攻击者的操作却在假设之外

1.假设用户自己不会增、删、改HTTP参数

2.假设用户会按预定的顺序访问页面（攻击手段有 省略某些阶段、多次访问同一阶段，推后访问前一阶段，修改代表阶段的参数）。这种漏洞不但有可能暴露业务数据，甚至可能让人看到各种各样的异常信息

3.假设用户不会在最后一步提交前一步的参数

4.假设用户输入的金额是正数

5.没想到用户在获得折扣后会从购物车中删除大部分货物