安全矩阵

 找回密码
 立即注册
搜索
查看: 746|回复: 0

业务逻辑安全思路总结

[复制链接]

112

主题

113

帖子

452

积分

中级会员

Rank: 3Rank: 3

积分
452
发表于 2022-6-21 20:27:06 | 显示全部楼层 |阅读模式
本帖最后由 wangqiang 于 2022-6-21 20:28 编辑

业务逻辑安全思路总结
原创 Bypass Bypass
2022-06-21 08:00 发表于福建
转载地址:业务逻辑安全思路总结

在电商的业务场景里,我们最应该注意哪些安全问题呢?
想到这,发现挺有意思的,于是我重新去梳理了一下业务逻辑方面的内容,总结了一张关于业务逻辑安全的思维导图,在整理的过程中,自己的思路也越加清晰。
借此机会分享给屏幕前的小伙伴们,希望你亦有所获。当然,如果我们同频,也希望能够获得你的反馈与补充。



01、防前端绕过
前端校验增加用户体验,后端校验才能保障接口安全性。
漏洞案例:支付计价的逻辑写在前端,后端没有做数据校验,从而导致0元支付逻辑漏洞。
02、防数据重放
增加防重放机制,防止数据重复提交。
漏洞案例:抽奖接口未做任何限制,可进行数据重发,从而获取大量积分或现金券。
03、防越权绕过
增加用户权限验证,防止用户越权。
漏洞案例:遍历用户id导致用户敏感信息泄露。
04、防流程绕过
业务逻辑拆分需考虑风险,防止用户绕过某些节点,执行后面的流程。
漏洞案例:积分兑换的场景,将积分扣减和兑换拆分为两个接口,攻击者可直接执行兑换,不执行积分扣减。
05、防数据篡改
增加签名认证,防止数据被篡改。
漏洞案例:用户的游戏成绩直接篡改可用于游戏作弊。
06、防高并发攻击
防范业务端的条件竞争,一般的方法是设置锁。
漏洞案例:利用高并发请求抢占时间,从而绕过积分限制实现多次抽奖。





回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2022-10-1 06:32 , Processed in 0.009441 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表