业务逻辑安全思路总结

2022-06-21 12,003

在电商的业务场景里,我们最应该注意哪些安全问题呢?

想到这,发现挺有意思的,于是我重新去梳理了一下业务逻辑方面的内容,总结了一张关于业务逻辑安全的思维导图,在整理的过程中,自己的思路也越加清晰。

借此机会分享给屏幕前的小伙伴们,希望你亦有所获。当然,如果我们同频,也希望能够获得你的反馈与补充。


01、防前端绕过

前端校验增加用户体验,后端校验才能保障接口安全性。

漏洞案例:支付计价的逻辑写在前端,后端没有做数据校验,从而导致0元支付逻辑漏洞。

02、防数据重放

增加防重放机制,防止数据重复提交。

漏洞案例:抽奖接口未做任何限制,可进行数据重发,从而获取大量积分或现金券。

03、防越权绕过

增加用户权限验证,防止用户越权。

漏洞案例:遍历用户id导致用户敏感信息泄露。

04、防流程绕过

业务逻辑拆分需考虑风险,防止用户绕过某些节点,执行后面的流程。

漏洞案例:积分兑换的场景,将积分扣减和兑换拆分为两个接口,攻击者可直接执行兑换,不执行积分扣减。

05、防数据篡改

增加签名认证,防止数据被篡改。

漏洞案例:用户的游戏成绩直接篡改可用于游戏作弊。

06、防高并发攻击

防范业务端的条件竞争,一般的方法是设置锁。

漏洞案例:利用高并发请求抢占时间,从而绕过积分限制实现多次抽奖。

本文作者:Bypass007

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/181590.html

Tags:
评论  (0)
快来写下你的想法吧!

Bypass007

文章数:94 积分: 218

一个网络安全爱好者,对技术有着偏执狂一样的追求。

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号