网络安全---渗透测试----业务逻辑漏洞(1-业务逻辑)

已于 2023-10-23 16:21:42 修改
阅读量528 收藏 5
点赞数 2
分类专栏: # 渗透测试从入门到入土 网络安全---白帽从小白到大神 文章标签: web安全 安全 网络安全 网络攻击模型 策略模式 系统安全 安全架构
于 2023-10-23 16:17:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52796034/article/details/133963003
版权

注意:由于业务逻辑漏洞本身的特殊性,很难用代码来具体解释(原因见下文📜),因此本文主要内容是业务逻辑漏洞的各种理论🤓,代码涉及极少,具体的实战演练会在后续更新哟⏩

注意:在挖掘业务逻辑漏洞时,对于一些可能会对目标业务造成影响的操作,一定要慎之又慎,比如验证越权修改账号密码时,应当只修改自己创建的账号,防止误修改其他人的账号信息!

三个问题讲清业务逻辑漏洞:

什么是业务逻辑?

1.业务逻辑是指一个实体单元为了向另一个实体单元提供服务,应该具备的规则与流程

2.业务逻辑是指在实际业务操作中,通过对业务规则和规程的分析和抽象,确定业务处理的规则和步骤

业务逻辑通常由一组规则或者算法来描述业务流程,涉及到数据的处理、存储、分析和展示等方面,它是一个抽象的概念,在软件开发中占据着重要的地位。在面向对象编程中,业务逻辑通常被封装在对象的方法中,以此来实现对数据的操作和处理。在Web应用程序中,业务逻辑通常会包含在Controller层中,用于处理用户请求和响应结果。因此,业务逻辑是程序中最核心的部分,决定了整个程序的运行流程和结果。

业务逻辑本质上就是对真实业务的映射与抽象

实际上,我们口口声声的业务逻辑,只是用代码实现的真实业务的规则映射。”

所有的逻辑都有漏洞吗?

不是所有的逻辑都有漏洞

逻辑漏洞:又称业务逻辑漏洞,是指由于程序逻辑不严谨或者逻辑太复杂,导致一些逻辑分支不能正常处理或者处理错误。

逻辑这种东西,无论它再基于客观事实的基础上,也一定是加了至少一点点主观推理的。如果是不加主观推理的东西,它就只是纯粹的客观事实,也不存在什么漏洞一说。但凡是加了主观推理的东西,都一定不是客观事实,哪怕有再少的主观推理,都必然有漏洞。

什么是业务逻辑漏洞?

业务逻辑漏洞是一类特殊的安全漏洞,业务逻辑漏洞属于设计漏洞而非实现漏洞,是业务逻辑设计不严谨导致的漏洞

业务逻辑漏洞通常是由于无法预期可能发生的异常应用程序状态,因此无法安全处理它们所导致的。这些缺陷通常对那些没有明确寻找它们的人来说是不可见的,因为它们通常不会在应用程序的正常使用中暴露出来。但是,攻击者可以通过开发人员从未想过的方式与应用程序进行交互来利用这些漏洞。常见的业务逻辑漏洞如:参数篡改、重放攻击、流程漏洞等。

业务逻辑漏洞的成因:

应用程序在设

最低0.47元/天 解锁文章
洛一方
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
网站漏洞挖掘思路
Spontaneous_0的博客
03-14 566
网站漏洞挖掘思路
渗透测试业务逻辑业务数据安全
发哥微课堂
08-06 1822
0x00:前言 上周做渗透,有一个 sql 注入,负责安全审核的人给开发说你们的程序既然还有 sql 注入,我一年也看不见几个。这句话让我又再次深刻的认识到,渗透测试常规的一些注入跨站漏洞不如以前那么盛了,有点经验的开发写东西都会去考虑到了,再加上修复方法也在逐渐的完善,逻辑类的东西也应该并重的去测。 0x01:分类 我把逻辑类的问题大概总结了一下,大概可以分为十个模块,分别是登录认证模块测...
SRC逻辑漏洞挖掘详解以及思路和技巧(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Python_paipai的博客
07-17 841
由于程序逻辑不严谨或逻辑太过复杂,导致一些逻辑分支不能正常处理或处理错误,统称为业务逻辑漏洞。常见的逻辑漏洞有交易支付、密码修改、密码找回、越权修改、越权查询、突破限制等,下图是简单的逻辑漏洞总结,在挖掘的过程中更多的时候需要脑洞大开:挖掘逻辑漏洞的过程中,需要一些技巧和非常规思路,有点像边缘测试的思想。确定业务流程--->寻找流程中可以被操控的环节--->分析可被操控环节中可能产生的逻辑问题--->尝试修改参数触发逻辑问题0X01 逻辑漏洞分类。
Web安全测试学习手册-业务逻辑测试
dfdhxb995397的博客
04-19 394
i春秋作家:Vulkey_Chen 首先感谢朋友倾璇的邀请http://payloads.online/archivers/2018-03-21/1,参与了<web安全测试学习手册>的相关撰写,目前负责业务逻辑测试这一块的撰写,目前初步已经成型,先发出来让大家看看,欢迎点评,也可以加入我们一起来撰写~ 业务逻辑测试 介绍:这里对Web应用业务逻辑方面的安全缺陷...
业务逻辑业务安全
I_WORM的博客
04-08 462
权限安全 未授权访问 会话漏洞 复制登录状态下的某一功能链接,再其他浏览器或用户直接访问看是否能进入登录状态界面 正常会弹出请登录界面,校验身份;如果直接进入控制台则表明存在未授权访问漏洞 存储不安全问题 服务器端的数据不安全存储,就是用户不需要身份验证就能直接访问一些敏感信息,如他人的支付订单,银行卡信息等 越权 水平越权 同权限账号之间的信息访问(只针对私人数据) 查找是否有id等表示身份信息的参数,进行修改看是否
业务逻辑漏洞挖掘随笔【密码篇】
weixin_30362083的博客
09-24 111
场景一【验证码位数过短】:   在业务逻辑测试很多时候涉及到重置密码、重置身份信息等。这时候的验证信息(短信、邮件链接等)也是我们要考虑的点之一。   可以用自己的账号注册,模拟重置用户信息。查看手机接收到的验证有没有特点。(比如Google 8位 支付宝6位等)。验证码过短(甚至是验证码有规律)的时候就可以尝试是否能通过爆破的方式猜测出验证码。 条件a:验证码够短 条件b:在提交的...
安全生产:业务逻辑
码出幸福人生
07-12 331
最近在开发中遇到一个问题,由于只关注自己所分配的任务,忽略了自己这一部分开发内容与整个业务流程的关系,然后就有些问题没有考虑周全,bug就比较多。开发人员不应该只关心coding,更加应该关注的是业务、是产品。要思考一款产品好不好,决定一款产品好坏的是设计,而不是coding。所以我要求自己,在以后的项目中要弄清楚每一个业务细节,要搞清楚这个产品为什么要这样设计。...
「NGFW」构建安全的移动办公环境 - 渗透测试.zip
11-09
在现代企业环境中,移动办公已成为常态,员工们频繁地使用智能手机、平板...同时,不断进行渗透测试和优化安全策略,以应对日新月异的网络安全威胁。通过这样的综合措施,企业能够平衡效率与安全,实现安全的移动办公。
CISP-PTE渗透测试工程师知识体系大纲 (很全)
06-12
### CISP-PTE渗透测试工程师知识体系大纲解析 #### 一、CISP-PTE知识体系框架结构 **CISP-PTE(注册信息安全专业人员-渗透测试工程师)**是中国信息安全测评中心推出的针对渗透测试领域的专业认证。该认证旨在培养...
Iuwikes-业务逻辑安全的攻防思考.pdf
01-28
在当今数字化时代,企业的业务逻辑安全成为了网络安全领域中的一个重要课题。业务逻辑安全是指确保应用程序按照预期的方式运行,防止非法用户利用系统的业务流程漏洞进行攻击。《Iuwikes-业务逻辑安全的攻防思考》这...
网络安全 - 2022 年五项挑战.pdf
10-06
网络安全是当今数字化时代的核心议题,2022年的网络安全面临多重挑战。首先,我们要了解基础知识的重要性,这是网络安全领域的基石。网络计算机知识(如CCNA或Network+课程)是理解网络架构和通信的基础;逻辑编程...
陆文举:业务视角下的逻辑安全
cuikaoji4979的博客
08-14 190
本文根据陆文举(土夫子)老师在2018年5月12日【DTCC 2018】现场演讲《业务视角下的逻辑安全》内容整理而成。 讲师介绍: 陆文举(土夫子),会分期运维总...
记一次企业逻辑业务漏洞挖掘
qq_44040833的博客
02-09 473
这是一个短信轰炸漏洞,属于业务逻辑范围的漏洞, 在浏览这个网站页面时候没有想到企业站会存在过可以直接绕WAF或者爆后台,在看到这个业务网站有一个验证码发送的时候就想到以前看到过类似的业务漏洞,于是便上手去尝试。在查看了这家企业的相关信息之后就直接翻转到了站点去浏览。 发现存在WAF狗,当我手工直接输入select之后就被拉黑ip了..........,换个ip继续搞 然后在检索功能...
【burpsuite安全练兵场-服务端5】业务逻辑漏洞-11个实验(全)
01-03 9391
【BP靶场portswigger-服务端5-业务逻辑漏洞】11个实验-万文详细步骤
逻辑漏洞之——业务安全问题
温柔小薛的博客
04-21 468
业务安全问题 一些生产环境中可能出现的实际问题,我认为这不只是渗透测试工程师需要针对的,也是一些开发人员需要意识到的 账户安全 盗号、撞库等身份盗用问题 “撞库”攻击的形式 尝试登录大量【用户名+密码】组合 利用已泄露的多家网站用户数据库 “盗号”产生的风险 用户隐私受影响 账户资金受影响 企业投诉和赔付率上升 对抗手段 验证码识别云平台...
关键信息基础设施确定指南_干货分享 | 关键信息基础设施运营单位如何做好业务安全测试...
weixin_39725594的博客
12-15 894
孟加拉国央行因黑客攻击被窃8100万,美国地铁遭勒索病毒攻击,委内瑞拉全国范围内大停电,全球爆发的永恒之蓝事件……近几年来,针对关键信息基础设施的网络攻击日渐增多,正在对国家安全、经济发展和社会稳定产生重大影响。关键信息基础设施保护正面临着严峻的挑战,网络安全防护也成了运营单位的重中之重任务。但在运营单位按部就班地做好网络、云端、终端等各处防护的过程中,很可能会忽视掉对业务本身的安全。银...
业务逻辑漏洞总结
未完成的歌~的博客
03-02 983
逻辑漏洞是指由于程序逻辑不严谨导致一些逻辑分支处理错误造成的漏洞。在实际开发中,因为开发者水平不一没有安全意识,而且业务发展迅速内部测试没有及时到位,所以常常会出现类似的漏洞
web渗透--37--业务逻辑数据验证
武天旭的博客
09-21 878
1、漏洞描述 应用程序必须确保只有逻辑有效的数据才能在系统应用服务器的前端输入。只有在服务器上验证数据,才能避免通过代理等方式篡改数据注入到服务器。 关于业务数据漏洞验证,是在应用程序中特有的,不同于构造请求的漏洞,它们不仅关注逻辑数据,更关心打破业务逻辑流程所带来的问题。 应用程序的前端和后端都必须校验和验证所拥有的数据,这种方法已经被使用,并通过了逻辑有效性证明。
业务逻辑处理是什么意识
05-27
业务逻辑处理指的是在软件系统中对各种业务规则和流程进行处理和控制的过程。在软件系统中,各种业务规则和流程通常都需要编写相应的代码来进行实现和控制,这些代码就是业务逻辑处理的核心内容。业务逻辑处理通常包括以下几个方面: 1. 数据验证:对用户提交的数据进行验证,确保数据的合法性和正确性。 2. 数据处理:对用户提交的数据进行处理,进行数据转换、计算、存储等操作。 3. 业务规则处理:根据各种业务规则和流程,进行相应的处理和控制。 4. 错误处理:对各种错误情况进行处理和提示,保证系统的稳定性和可靠性。 5. 交互处理:与用户进行交互,接收用户的输入和输出,提供用户友好的界面和操作体验。 综上所述,业务逻辑处理是软件系统中非常重要的一个环节,它关系到系统的可用性、可靠性和易用性。在进行业务逻辑处理时,需要充分考虑各种业务规则和流程,以及用户的需求和要求,编写出高质量的代码,保证系统的稳定性和可靠性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

洛一方

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值