简述
业务逻辑漏洞是由于程序在开发设计过程中逻辑不严谨而产生,导致产品上线后恶意攻击者可以利用业务逻辑缺陷进行恶意攻击行为。
业务逻辑漏洞跟传统WEB漏洞比较明显区别:不同业务产品线的挖掘思路存在差异,导致无法轻松的大规模自动化检测,这也是业务逻辑漏洞难发现的原因之一。而在防范业务逻辑漏洞方面,中小企业一般缺乏即懂公司业务逻辑,又具备信息安全分析挖掘能力的人员。
分类
业务逻辑漏洞暂时没有十分明确的分类,但可以根据业务线场景进行分类,同属性的业务线场景出现的业务逻辑漏洞都较为相似。
常见的业务线场景:
用户注册、登录、资料修改、密码找回
- 平行越权
指的是权限平级的两个用户之间的越权访问。比如:恶意用户A在修改个人资料信息的过程中,可以通过“操作”篡改用户B的个人资料。
- 垂直越权
指的是权限垂直的两个用户之间的越权访问。比如:恶意用户A并不具有管理员权限,但其可以通过“操作”获取管理员权限,并使用管理员的功能。
- 密码找回
凭证爆破、凭证泄露、弱Token、前端验证绕过、修改步骤绕过
- 登录
暴力撞库、登录验证绕过、万能密码
- 用户注册
任意用户注册、用户注册接口信息泄露、恶意注册 - 无效用户批量注册
交易支付
- 交易金额、数量恶意篡改
恶意用户A可以在订单交易过程中通过“操作”,恶意篡改订单的交易金额、商品数量等。
- 活动优惠券 恶意领取
恶意用户A在参加平台某次活动的过程中,由于优惠券的领取逻辑存在缺陷,导致在“操作”过程中可以反复领取优惠券。
数据交互
- 数据库接口、邮件&短信接口、合作平台接口
- 数据重放攻击
- 垃圾数据恶意填灌 - 评论区、留言板、资讯栏、通知面板、反馈区
验证服务
- 暴力破解、短信轰炸、有效时间\次数未限制、验证机制问题
接口访问
权限管理
网友评论