业务逻辑之业务安全
-
权限安全
-
未授权访问
- 会话漏洞
- 复制登录状态下的某一功能链接,再其他浏览器或用户直接访问看是否能进入登录状态界面
- 正常会弹出请登录界面,校验身份;如果直接进入控制台则表明存在未授权访问漏洞
- 存储不安全问题
- 服务器端的数据不安全存储,就是用户不需要身份验证就能直接访问一些敏感信息,如他人的支付订单,银行卡信息等
-
越权
- 水平越权
- 同权限账号之间的信息访问(只针对私人数据)
- 查找是否有id等表示身份信息的参数,进行修改看是否能查看到别人的信息
- 垂直越权
- 低权限账号访问高权限账号的私人数据,或者执行了高权限账号才能执行的功能
- 添加用户,访问管理员信息等,查看是否有鉴权参数,修改后看是否能获取不同的权限
- 低权限账号访问高权限账号的私人数据,或者执行了高权限账号才能执行的功能
-
流程乱序
- 正常情况下完成一个功能需要按步骤执行一系列操作,如生成订单--》校验身份---》支付----》支付成功
- 如果存在乱序问题,生成订单后,直接抓取支付成功的数据包修改订单号就能直接完成整个流程;绕过了中间的身份验证
- 修复
- 首先建议对敏感信息进行加密处理,例如身份 id、账号密码、订单号、金额等
- 建议在服务器端对其信息进行二次校验,避免修改乱序等情况
- 首先建议对敏感信息进行加密处理,例如身份 id、账号密码、订单号、金额等
-
接口调用
-
利用
- 重放攻击
- 短信轰炸
- 恶意注册
- 无线刷积分/投票
- 内容编辑
-
防范
- 确保业务接口有保护,只有授权的系统或应用程序可以调用
- 对接口输入的数据进行验证,防止恶意数据输入和攻击
- 确保业务接口有保护,只有授权的系统或应用程序可以调用
-
业务一致性
-
事务完整性
- 所有任务全部成功或全部失败
-
日志记录
- 记录信息,跟踪数据
- 如医疗系统患者信息
-
利用
- 就是修改一些标志身份的参数信息来获取他人的数据或产品
- 如
- 手机号篡改
- 修改手机号查看他人业务信息
- 邮箱篡改
- 修改邮箱查看他人业务信息
- 订单id篡改
- 修改订单号来查看他人订单信息
- 商品编号篡改
- 修改商品编号以获得高价值商品
- 用户id篡改
- 看其他用户信息
-
数据篡改
-
防护
- 使用数据加密、访问控制和数据完整性检查来保护业务数据
- 通过安全通信协议传输敏感数据
-
场景
- 金融
- 医疗
-
利用
- 金额修改
- 通过修改支付过程中的金额实现0元购
- 数量修改
- 通过修改购买商品数量为负数或者超过最大数,看是否能完成业务流程
- 金额修改
-
时效绕过测试
-
时间范围
- 如银行业务默认只能查询近三个月的交易明细,通过抓包可以尝试一下修改时限,看能否绕过这个范围
-
时间刷新
- 如出票系统可能默认5s刷新一次,可以尝试设置autoSearchTime=1000(1s);这是在本地设置的,提高刷新率,提高抢票概率
-
业务安全危害
- 数据泄露:未经授权的访问或攻击可能导致敏感数据的泄露。这可能包括客户数据、财务信息、知识产权等敏感信息的曝露,损害个人隐私和组织声誉。
- 数据篡改: 恶意篡改或操纵业务数据可能导致错误的决策、不准确的报告以及可能的法律责任。这对业务运营和声誉造成直接威胁。
- 服务中断: 业务安全问题可能导致系统服务中断,影响业务的连续性和可用性。这可能导致生产停滞、损失收入和客户满意度下降
-
防御
- 访问控制:限制用户对系统资源的访问权限,只允许授权用户访问系统。
- 数据加密:对重要数据进行加密处理,保护数据的机密性和完整性,防止数据泄露。
- 安全审计:记录系统的操作日志和安全事件,及时发现和处理安全漏洞。
- 强化认证:采用多因素认证等方式,提高用户身份验证的安全性。
- 漏洞修复:及时修复系统中的漏洞和安全缺陷,保证系统的稳定和安全性。
- 应急响应:建立应急响应机制,及时应对安全事件和威胁,降低损失和影响。
(图片来源网络,侵删) - 漏洞修复:及时修复系统中的漏洞和安全缺陷,保证系统的稳定和安全性。
- 强化认证:采用多因素认证等方式,提高用户身份验证的安全性。
- 安全审计:记录系统的操作日志和安全事件,及时发现和处理安全漏洞。
- 数据加密:对重要数据进行加密处理,保护数据的机密性和完整性,防止数据泄露。
- 访问控制:限制用户对系统资源的访问权限,只允许授权用户访问系统。
- 数据篡改: 恶意篡改或操纵业务数据可能导致错误的决策、不准确的报告以及可能的法律责任。这对业务运营和声誉造成直接威胁。
- 数据泄露:未经授权的访问或攻击可能导致敏感数据的泄露。这可能包括客户数据、财务信息、知识产权等敏感信息的曝露,损害个人隐私和组织声誉。
-
- 金融
- 使用数据加密、访问控制和数据完整性检查来保护业务数据
-
- 手机号篡改
- 如
- 就是修改一些标志身份的参数信息来获取他人的数据或产品
- 记录信息,跟踪数据
-
- 恶意注册
- 短信轰炸
- 重放攻击
-
- 修复
- 如果存在乱序问题,生成订单后,直接抓取支付成功的数据包修改订单号就能直接完成整个流程;绕过了中间的身份验证
- 正常情况下完成一个功能需要按步骤执行一系列操作,如生成订单--》校验身份---》支付----》支付成功
- 同权限账号之间的信息访问(只针对私人数据)
- 水平越权
- 复制登录状态下的某一功能链接,再其他浏览器或用户直接访问看是否能进入登录状态界面
- 会话漏洞
-
文章版权声明:除非注明,否则均为主机测评原创文章,转载或复制请以超链接形式并注明出处。
