业务逻辑漏洞
作者:互联网
业务逻辑漏洞
简介
业务逻辑
业务逻辑是指应用程序如何运行的规则集,其规定了应用程序在给定场景发生时应如何反应,包括阻止用户做会对业务产生负面影响或根本没有意义的事情
业务逻辑漏洞
业务逻辑漏洞是指由于应用程序设计实现中的缺陷,比如逻辑输入管控不严,导致程序不能够正常处理或处理错误,使得攻击者能够绕过这些规则并实现恶意目标
业务逻辑漏洞通常出现在登陆注册、密码找回、信息查看、交易支付等地方
常见的业务逻辑漏洞
越权漏洞
水平越权
相同级别(权限)的用户或者同一角色的不同用户之间可以越权访问、修改或者删除的非法操作。出现此类漏洞将可能造成大批量数据泄露,甚至可能造成用户信息被恶意篡改
垂直越权
垂直越权是不同级别或不同角色之间的越权。垂直越权又分为向上越权与向下越权。
- 向上越权 低级别(权限)用户可以进行高级别(权限)用户的操作
- 向下越权 与向上越权相反,高级别用户可以访问低级别用户的信息,许多网站都是这么做的,但是会侵犯低级别用户的隐私
交叉越权
垂直越权和水平越权的交集
支付逻辑漏洞
当涉及到支付、购买等交易操作时,可能存在支付漏洞,如0元支付、商品数量为负数等
攻击者通过构造特殊请求、修改支付价格、修改支付状态、修改购买数量、修改优惠券或积分、修改支付接口、修改最大最小值、修改试用次数等等,以此达到非法交易
验证码绕过漏洞
通常为了保障业务系统的安全,大部分应用程序都会有多种多样的验证功能。比较常见的几种验证功能就包括账号密码验证、验证码验证、JavaScript数据验证及服务端数据验证等等,但程序员在涉及验证方法时可能存在缺陷导致被绕过,面对这些的校验方法,攻击者能够通过修改前端语言或者在传输中对参数进行篡改来绕过验证。如何挖掘验证码漏洞?先拦截验证码登录信息,对数据包进行分析,挖掘是否存在重放或时间漏洞,若存在则可对参数进行篡改,最后绕过登录界面。
标签:逻辑,验证,业务,用户,漏洞,修改,越权 来源: https://www.cnblogs.com/zhoujinxuan/p/16300753.html