业务逻辑安全思路总结

渗透技巧 2年前 (2022) admin
540 0 0

在电商的业务场景里,我们最应该注意哪些安全问题呢?

想到这,发现挺有意思的,于是我重新去梳理了一下业务逻辑方面的内容,总结了一张关于业务逻辑安全的思维导图,在整理的过程中,自己的思路也越加清晰。

借此机会分享给屏幕前的小伙伴们,希望你亦有所获。当然,如果我们同频,也希望能够获得你的反馈与补充。

业务逻辑安全思路总结

01、防前端绕过

前端校验增加用户体验,后端校验才能保障接口安全性。

漏洞案例:支付计价的逻辑写在前端,后端没有做数据校验,从而导致0元支付逻辑漏洞。

02、防数据重放

增加防重放机制,防止数据重复提交。

漏洞案例:抽奖接口未做任何限制,可进行数据重发,从而获取大量积分或现金券。

03、防越权绕过

增加用户权限验证,防止用户越权。

漏洞案例:遍历用户id导致用户敏感信息泄露。

04、防流程绕过

业务逻辑拆分需考虑风险,防止用户绕过某些节点,执行后面的流程。

漏洞案例:积分兑换的场景,将积分扣减和兑换拆分为两个接口,攻击者可直接执行兑换,不执行积分扣减。

05、防数据篡改

增加签名认证,防止数据被篡改。

漏洞案例:用户的游戏成绩直接篡改可用于游戏作弊。

06、防高并发攻击

防范业务端的条件竞争,一般的方法是设置锁。

漏洞案例:利用高并发请求抢占时间,从而绕过积分限制实现多次抽奖。

原文始发于微信公众号(Bypass):业务逻辑安全思路总结

版权声明:admin 发表于 2022年6月21日 上午8:01。
转载请注明:业务逻辑安全思路总结 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...