如何理解业务逻辑漏洞如何发现/减少系统中的业务逻辑漏洞

发表时间:2022/08/04 阅读量:34 来源: 云熙科技

渗透测试.png

业务逻辑漏洞是应用程序的设计和实现中的缺陷,由于程序逻辑不严谨或逻辑过于复杂,系统无法安全处理异常应用程序状态,导致一些逻辑分支不能正常处理或处理错误,一般和开发设计的缺陷有关。攻击者可以利用这些缺陷,通过操纵合法功能实现恶意行为。业务逻辑漏在攻防对抗中被越来越多的使用,相比SQL注入/XSS等在不同的应用中有相同的特征的常规漏洞,业务逻辑漏洞通常发生于特定的上下文,攻击特征弱,与应用程序/业务流程强相关,且通过自动化扫描不容易检测。如果在应用程序开发过程中,攻击者可绕过应用程序的业务规则,执行与预期不符合的应用程序逻辑,则会导致业务逻辑漏洞利用。


例如,权限验证过分依赖客户端,服务端缺少对请求进行权限判断,可导致越权访问用户权限外的页面/接口。通过使用拦截代理篡改数据,可实现任意金额购买任意数量商品,实现任意金额转账。软件开发流程中,确保开发/测试人员了解应用程序服务的使用范围,深入理解业务逻辑,避免对异常用户行为做不必要的处理,开发中使用应用程序威胁建模,可帮助减少业务逻辑漏洞。与网站漏扫相比,渗透测试可对指定系统业务逻辑缺陷以及对登录态下的部分重要接口进行测试,测试范围更全面。


云熙科技是阿里云精英级代理商,具备专业的企业IT解决方案。为客户提供上云咨询到产品配置、云上解决方案、应用迁移、安全防护、技术支持等全套服务支持。折扣优惠请咨询客服:132 4670 0747(云小二)

深圳云熙3.png

联系我们 更多 +

咨询电话(Tel) 132-4670-0747 邮箱:keming_liu@aliyun.com
地址:广东省深圳市宝安区银田创意园宗泰文创产业园B15栋503室

关注微信
添加即时沟通了解