在线漏洞检测_漏洞盒子_手把手教信息安全记录贴
行业现状
2019年全年中,漏洞盒子安全平台共收到各类网站漏洞12万多个,共收取到的电商行业的安全漏洞4.8万多个,占全年漏洞总数的40%多。其中,存在业务逻辑安全漏洞的网站共有1.3万个,占整个业务逻辑漏洞总数的40%左右。所以从电商行业来看,目前业务逻辑漏洞出现明显上升趋势。约占其四分之一(数据来源漏洞盒子,截止2020年2月)
漏洞类型比例:目前漏洞盒子平台收集到的电商行业漏洞种类较多,包括有SQL注入、XSS、密码重置、验证码绕过、绕过认证登录等,其中业务逻辑漏洞所占比例最大,如图
业务逻辑漏洞:一种业务逻辑上的设计缺陷,所引发的业务流程安全问题
以小买大:在支付时直接修改数据包中的支付金额,实现小金额购买大金额商品
实现0付款:修改购买数量,使之为负数,可购买负数量商品,从而扣除负积分,即增加积分,或使购买数量无限大,无限大时则程序可能处理出错,从而实现0金额支付
请求重放:在购买成功后重放请求,可实现“一次购买多次收货”。以及绕过第三方校验、支付前随意更改单价等一系列业务逻辑问题
业务数据篡改:服务器仅在通过JS脚本限制,没有对订单进行合理校验,从而对订单中金额、数量、手机号、用户ID、商品编号。其它业务进行篡改,造成严重的经济损失
业务越权查看:用户在没有认证授权的情况下,直接访问需要认证的网页或文本信息,并进行增、删、改、查操作,造成数据丢失、订单信息篡改等,使数据失去机密性和完整性
~
网络安全学习,我们一起交流
~