业务逻辑的脆弱性业务逻辑的脆弱性是一种特殊的安全脆弱性,业务逻辑的脆弱性不是实现的脆弱性而是设计的脆弱性,是业务逻辑设计不完善导致的脆弱性。 大多数业务逻辑漏洞没有明显的攻击特征,既难以通过漏洞扫描发现,也难以通过安全设备进行保护。
绕过验证
主要指认证系统的设计存在缺陷,可以使用一些技术手段绕过认证机制伪造他人身份。
越权访问
主要是指权限控制功能不严格,允许系统用户访问和操作未经授权的功能和数据。
交易漏洞
交易不完备是指与交易相关的功能设计不严密,导致可免费、低价购买商品或者重复领取奖励等
涉及资金和交易的漏洞也是常见的商业逻辑漏洞,如网络交易、积分兑换、激励活动等,常见漏洞根据漏洞利用手段可分为参数篡改、重放攻击、流程漏洞等三类。 事务漏洞与业务密切相关,修复和避免只能在业务流程的设计和实现过程中具体分析,但通常可以遵循来自客户端的数据不可靠,客户端验证也不可靠的原则。
参数篡改:篡改金额、0数逻辑、负数逻辑的重放攻击:客户端验证、开放端口流程漏洞:退货流程其他漏洞
邮件炸弹等其他业务逻辑的漏洞。
许多网站目前提供短信接口,其中最常见的是发送短信验证码,如果这种功能没有限制,容易被攻击者利用,给特定的手机发送大量短信,浪费资源,也影响手机用户
业务逻辑漏洞基本挖掘思路
业务逻辑漏洞的挖掘主要依靠人工测试,通常根据业务类型和功能模块初步判断潜在的安全漏洞后,使用Scram工具跟踪业务流程,并根据流程特征进一步分析潜在的漏洞