业务安全 –业务逻辑漏洞

最新推荐文章于 2024-10-07 15:25:09 发布
最新推荐文章于 2024-10-07 15:25:09 发布
阅读量2.1k 收藏 10
点赞数 1
文章标签: 安全 session 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Chenamao/article/details/107851112
版权
本文探讨了业务安全,特别是业务逻辑漏洞,包括商品支付金额篡改、前端JS限制绕过验证、请求重放测试等常见问题。业务安全测试流程涵盖场景建模、风险点识别和测试报告撰写。此外,文章还举例说明了如何通过抓包工具进行测试,并强调了密码找回安全的重要性。
摘要由CSDN通过智能技术生成

目录

业务安全 –业务逻辑漏洞

业务安全概述;

业务安全测试流程:

业务数据安全

商品支付金额篡改

前端JS限制绕过验证

请求重放测试

业务上线测试

*商品订购数量篡改

密码找回安全

注入

业务逻辑

信息泄露

业务安全概述;

简单讲,随着社会发展,越来越多的行业都开始发展互联网业务,利用信息通信性技术以及互联网平台进行商务互动(金钱交易)。如:银行、保险、证券电商、P2P、O2O、游戏、社交、招聘、航空等。涉及金钱、个人信息、交易、等重要隐私数据,成为黑客攻击的目标。

(业务逻辑漏洞主要是开发人员业务流程设计的缺陷,不仅限于网络层、系统层、代码层等。例登陆验证码绕过、交易中的数据被篡改、接口的恶意调用等,都属于业务逻辑漏洞)。

 

注:业务逻辑漏洞可以逃逸各种安全防护,迄今为⽌没有很好的解决办法。也是为什么⿊客偏好使⽤业务逻辑漏洞攻击的⼀个原因。

 

 

业务安全测试流程:

准备>>调研>>场景建模>>流程梳理>>风险点识别>>业务风险点识别>>开展测试>>撰写报告

 

业务数据安全

商品支付金额篡改

电商类网站在业务流程整个环节,需要对业务数据的完整性和一致性进行保护,特别是在确保在用户客户端与服务端、业务系统接口之间的数据传输的一致性。通常在订购类交易流程中,容易出现服务器端未对用户提交的业务数据进行强制校验,过度信赖客户提交的业务数据而导致的商品金额篡改漏洞。

商品金额篡改漏洞测试,通过BP抓包修改业务流程中的交易金额等字段,例在支付页面抓取金额字段,修改成任意金额提交,查看是否是修改后的金额数据完成业务流程。

测试作用:

主要针对订单⽣成的过程中存在商品⽀付⾦额校验不完整⽽产⽣业务安全⻛险点,通常导致攻击者⽤实际⽀付远低于订单⽀付的⾦额订购商品的业务逻辑漏洞。

现实案例:一毛钱买冰箱。

 

最低0.47元/天 解锁文章
Chenamao
关注
常见Web安全漏洞
weixin_45253622的博客
03-07 1万+
常见Web漏洞小结 1越权漏洞 不同权限账户之间的存在越权访问 检测 抓去a用户功能链接,然后登录b用户对此链接进行访问 抓去a用户功能链接,修改id为b的id,查看是否能看b的相关数据 替换不同的cookie进行测试查看 防范 1服务器端必须对每个页面链接进行权限判断。 2用户登陆后,服务器端不应再以客户端提交的用户身份信息为依据,而应以会话中服务端保存的已登陆的用户身份信息为准。 3页面提交的资源标志与已登陆的用户身份进行匹配比对,然后判断其对当前链接是否有权限。 4必须在服务器端对每个请求URL进行鉴
burp靶场--业务逻辑漏洞
qq_33168924的博客
01-23 1077
登录账号,购买商品的数量一次最多可以 +99,可以用 Burp 的 intruder 送到 Overflow。###【管理接口鉴定权限错误+修改账号邮箱地址未校验,导致管理接口以邮箱号为权限认定方式导致绕过】添加其他商品,用同样的方法在intruder操作,直到总金额为0-100。重新修改商品购物车:总价为正,指定商品l33t为正数,购买成功。
[红日安全]Web安全Day6 - 业务逻辑漏洞实战攻防
hongrisec的博客
02-29 908
本文由红日安全成员: Orion 编写,如有不当,还望斧正。 大家好,我们是红日安全-Web安全攻防小组。此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起了一个名字叫 Web安全实战 ,希望对想要学习Web安全的朋友们有所帮助。每一篇文章都是于基于漏洞简介-漏洞原理-漏洞危害-测试方法(手工测试,工具测试)-靶场测试(分为PHP靶场、JAVA靶场、Python...
业务系统安全需要时刻警惕
最新发布
dexun123的博客
10-07 752
随着信息技术的飞速发展,网络已经成为现代社会不可或缺的一部分。企业、政府机构以及个人在日常生活中越来越依赖于网络进行数据存储、信息交流和业务运营。然而,网络空间的开放性也带来了前所未有的安全挑战。黑客攻击、数据泄露、网络诈骗等安全事件频发,给个人隐私、企业资产乃至国家安全带来了严重威胁。在此背景下,渗透测试作为信息安全领域的一项重要技术,其必要性日益凸显。
关键信息基础设施确定指南_干货分享 | 关键信息基础设施运营单位如何做好业务安全测试...
weixin_39725594的博客
12-15 930
孟加拉国央行因黑客攻击被窃8100万,美国地铁遭勒索病毒攻击,委内瑞拉全国范围内大停电,全球爆发的永恒之蓝事件……近几年来,针对关键信息基础设施的网络攻击日渐增多,正在对国家安全、经济发展和社会稳定产生重大影响。关键信息基础设施保护正面临着严峻的挑战,网络安全防护也成了运营单位的重中之重任务。但在运营单位按部就班地做好网络、云端、终端等各处防护的过程中,很可能会忽视掉对业务本身的安全。银...
逻辑漏洞之——业务安全问题
温柔小薛的博客
04-21 499
业务安全问题 一些生产环境中可能出现的实际问题,我认为这不只是渗透测试工程师需要针对的,也是一些开发人员需要意识到的 账户安全 盗号、撞库等身份盗用问题 “撞库”攻击的形式 尝试登录大量【用户名+密码】组合 利用已泄露的多家网站用户数据库 “盗号”产生的风险 用户隐私受影响 账户资金受影响 企业投诉和赔付率上升 对抗手段 验证码识别云平台...
【CyberSecurityLearning 65】业务安全+业务逻辑漏洞实战
_Co1a
04-12 1014
目录 业务安全 * 业务安全概述 * 黑客攻击的目标 业务安全测试流程 * 测试准备 * 业务调研 * 业务建模 * 业务流程梳理 * 业务风险点识别 * 开展测试 * 撰写报告 万能用户名|密码 业务数据安全 * 商品支付金额篡改 * 前端JS 限制绕过验证 * 请求重放测试 * 业务上限测试 * 商品订购数量篡改 密码找回安全 * 验证码客户端回显测试 * 验证码暴力破解 * Response 状态值修改测试 * Session 覆盖 * 弱T...
业务逻辑漏洞
qq_53633989的博客
05-11 770
业务逻辑漏洞产生的原因业务测试流程:以电商为例:业务场景。
业务安全逻辑漏洞
Hi~ 土拨鼠
12-29 1560
文章目录业务安全概述黑客攻击的目标业务安全测试流程测试准备业务调研业务建模业务流程梳理业务风险点的识别开展测试撰写报告业务数据安全商品支付金额篡改前端JS 限制绕过验证请求重放测试业务上限测试商品订购数量篡改damiCMS V5.1为例密码找回安全验证码客户端回显测试验证码暴力破解Response 状态值修改测试Session 覆盖弱token 设计缺陷测试密码找回流程绕过测试接口参数账号修改metinfo V4.0为例 业务安全 概述 近年来,随着信息化技术的迅速发展和全球一体化进程的不断加快,计算机和网
web渗透常见漏洞总结
gugonggugong的博客
01-14 3565
一、SQL注入 1. 原理 SQL:结构化查询语言 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 SQL注射能使攻击者绕过认证机制,完全控制远程服务器上的数据库。 当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击;如果代码使用存储过程,而这些存储过程作为包含未筛选的用户输入的字符串来传递,也会发生sql注入。 2. 不同数据库的注入 MySQL access...
笔记 《风控要略:互联网业务反欺诈之路》 马传磊 等
无人问津的博客
10-05 4261
备注 表示自己的话 表示书中片段 开始 我们可以只依赖第三方风控吗?昂贵的金额只是一方面 业务安全真正力量是内生的,专业的安全风控公司可以提供工具、平台和策略建议,但是只有业务方真正理解风险了防控思路,才能在与黑产的对抗中设计好业务规则、运营好安全策略,取得较好的效果 在业务安全领域中和黑产的对抗,很大程度上是技术和资源的对抗。 了解业务安全的前世今生 从互联网诞生至2014年,互联网安全行业关注的热点基本都聚焦在网络安全、系统安全和应用安全这三大基础安全领域上。 2014年前后,随着互联
业务安全漏洞总结
内心不种满鲜花就会长满杂草
11-26 6940
登录认证模块 暴力破解 暴力破解测试是指针对应用系统用户登录账号与密码进行的穷举测试,针对账号或密 码进行逐一比较,直到找出正确的账号与密码
业务逻辑漏洞总结
qq_48904485的博客
03-22 7412
一、漏洞简介 业务逻辑漏洞产生的最核心原因,就是在编写程序时,只考虑了常规的操作流程,即“当在A情况下,就会出现B,此时执行C即可”,但是开发者却没有考虑当用户执行了意料之外的X时会发生什么。这种对于异常情况的欠考虑,最终导致了安全漏洞的产生。 应用中的缺陷通常分为两种类型: 在不同的应用中有相同的特征 与应用程序/业务领域严格相关 其中第一种类型的缺陷,就是类似SQL注入、XSS之类的常规漏洞。这一类漏洞的产生,主要是因为应用程序依赖用户的输入来执行某些重要的功能,但是在用户输入了一些非法字符时,应用
生命在于学习——业务逻辑漏洞
易水哲的博客
09-01 1501
业务逻辑漏洞
业务安全漏洞挖掘要点
任何事都始于当初的选择
05-09 3525
业务安全漏洞挖掘要点1 身份认证安全 暴力破解   用暴力穷举的方式大量尝试性地猜破密码。 一般包括字典攻击和暴力穷举。  示例   360云盘分享码可以被暴力破解 http://www.wooyun.org/bugs/wooyun-2015-0121646   淘米网登陆不需验证码导致暴力破解 http://www.wooyun.org/bugs/wooyun-2015-0145757  防御方法
[ web漏洞篇 ] 业务逻辑漏洞详解
qq_51577576的博客
11-19 1830
目录 什么是业务逻辑漏洞业务逻辑漏洞产生的核心原因: 应用中的缺陷通常分为两种类型: 逻辑漏洞主要产生的位置 登录处存在的逻辑漏洞 1.可以暴力破解用户名或密码: 2.session没有清空: 业务办理处存在的逻辑漏洞 水平越权 篡改手机号 验证码处存在的逻辑漏洞 登录验证码未刷新 手机或邮箱验证码可爆破 手机或邮箱验证码回显到客户端 修改response包绕过判定 支付处存在的逻辑漏洞 修改商品编号 金额修改 商品数量修改 通过前端限制限购商品 充值中放弃订单
浅谈——业务逻辑漏洞_什么是业务逻辑漏洞,2024年最新程序员必学之一
2401_83947255的博客
04-20 979
内容描述:修改某网站自己的密码,进而控制该网站其他用户的账号思路:注册网站的账号,然后修改密码,在提交密码的页面修改对应的用户名。4:admin退出登陆,pikachu登陆系统,目的是为了获取pikachu的cookie,保持截断数据包。4:接下来就是设定价格,可以设为低于原价,甚至负数,亦或者修改商品数量,看哪种方法可行。方案1:修改价格为负值,跟踪跳转之后,刷新购物车,购物车空了,钱包金额没变化,说明失败。3:admin添加新用户,BurpSuite抓包,发送到重放模块,然后停止截包。
业务逻辑漏洞有哪些?漏洞攻击防御及代码示例
2201_75362610的博客
03-21 984
定义:与编程错误或配置错误不同,业务逻辑漏洞通常源于软件的正常流程或功能的不当实现。
Web安全逻辑漏洞解析与防范策略
在Web应用中,逻辑漏洞是一个重要的安全隐患,它们往往不涉及传统意义上的代码注入或权限绕过,而是与应用的业务逻辑相关。以下是对这些漏洞的详细解析和预防策略: 1. 订单金额任意修改 这种漏洞通常发生在购物...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值