业务逻辑之业务安全

权限安全

复制代码
##### 未授权访问

* 会话漏洞
  * 复制登录状态下的某一功能链接,再其他浏览器或用户直接访问看是否能进入登录状态界面

  <!-- -->

  * 正常会弹出请登录界面,校验身份;如果直接进入控制台则表明存在未授权访问漏洞

<!-- -->

* 存储不安全问题
  * 服务器端的数据不安全存储,就是用户不需要身份验证就能直接访问一些敏感信息,如他人的支付订单,银行卡信息等
复制代码
##### 越权

* 水平越权
  * 同权限账号之间的信息访问(只针对私人数据)

  <!-- -->

  * 查找是否有id等表示身份信息的参数,进行修改看是否能查看到别人的信息

<!-- -->

* 垂直越权
  * 低权限账号访问高权限账号的私人数据,或者执行了高权限账号才能执行的功能

  <!-- -->

  * 添加用户,访问管理员信息等,查看是否有鉴权参数,修改后看是否能获取不同的权限

流程乱序

  • 正常情况下完成一个功能需要按步骤执行一系列操作,如生成订单--》校验身份---》支付----》支付成功
  • 如果存在乱序问题,生成订单后,直接抓取支付成功的数据包修改订单号就能直接完成整个流程;绕过了中间的身份验证
  • 修复

    • 首先建议对敏感信息进行加密处理,例如身份 id、账号密码、订单号、金额等
    • 建议在服务器端对其信息进行二次校验,避免修改乱序等情况

接口调用

复制代码
##### 利用

* 重放攻击
  * 短信轰炸

  <!-- -->

  * 恶意注册

  <!-- -->

  * 无线刷积分/投票

<!-- -->

* 内容编辑
复制代码
##### 防范

* 确保业务接口有保护,只有授权的系统或应用程序可以调用

<!-- -->

* 对接口输入的数据进行验证,防止恶意数据输入和攻击

业务一致性

复制代码
##### 事务完整性

* 所有任务全部成功或全部失败
复制代码
##### 日志记录

* 记录信息,跟踪数据

<!-- -->

* 如医疗系统患者信息
复制代码
##### 利用

* 就是修改一些标志身份的参数信息来获取他人的数据或产品

<!-- -->

* 如
  * 手机号篡改
    * 修改手机号查看他人业务信息

  <!-- -->

  * 邮箱篡改
    * 修改邮箱查看他人业务信息

  <!-- -->

  * 订单id篡改
    * 修改订单号来查看他人订单信息

  <!-- -->

  * 商品编号篡改
    * 修改商品编号以获得高价值商品

  <!-- -->

  * 用户id篡改
    * 看其他用户信息

数据篡改

复制代码
##### 防护

* 使用数据加密、访问控制和数据完整性检查来保护业务数据

<!-- -->

* 通过安全通信协议传输敏感数据
复制代码
##### 场景

* 金融

<!-- -->

* 医疗
复制代码
##### 利用

* 金额修改
  * 通过修改支付过程中的金额实现0元购

<!-- -->

* 数量修改
  * 通过修改购买商品数量为负数或者超过最大数,看是否能完成业务流程

时效绕过测试

复制代码
##### 时间范围

* 如银行业务默认只能查询近三个月的交易明细,通过抓包可以尝试一下修改时限,看能否绕过这个范围
复制代码
##### 时间刷新

* 如出票系统可能默认5s刷新一次,可以尝试设置autoSearchTime=1000(1s);这是在本地设置的,提高刷新率,提高抢票概率

业务安全危害

  • 数据泄露:未经授权的访问或攻击可能导致敏感数据的泄露。这可能包括客户数据、财务信息、知识产权等敏感信息的曝露,损害个人隐私和组织声誉。
  • 数据篡改: 恶意篡改或操纵业务数据可能导致错误的决策、不准确的报告以及可能的法律责任。这对业务运营和声誉造成直接威胁。
  • 服务中断: 业务安全问题可能导致系统服务中断,影响业务的连续性和可用性。这可能导致生产停滞、损失收入和客户满意度下降

防御

  • 访问控制:限制用户对系统资源的访问权限,只允许授权用户访问系统。
  • 数据加密:对重要数据进行加密处理,保护数据的机密性和完整性,防止数据泄露。
  • 安全审计:记录系统的操作日志和安全事件,及时发现和处理安全漏洞。
  • 强化认证:采用多因素认证等方式,提高用户身份验证的安全性。
  • 漏洞修复:及时修复系统中的漏洞和安全缺陷,保证系统的稳定和安全性。
  • 应急响应:建立应急响应机制,及时应对安全事件和威胁,降低损失和影响。
相关推荐
沧浪之水!22 分钟前
【Linux网络】:套接字之UDP
linux·网络·udp
BranH24 分钟前
Linux系统中命令设定临时IP
linux·运维·服务器
上海云盾-高防顾问27 分钟前
高防IP+CDN组合:电商大促的“双保险”防护方案
网络·网络协议·tcp/ip
迷路的小绅士31 分钟前
常见网络安全攻击类型深度剖析(三):DDoS攻击——分类、攻击机制及企业级防御策略
网络·web安全·ddos
极小狐35 分钟前
极狐GitLab 项目功能和权限解读
运维·git·安全·gitlab·极狐gitlab
秋风起,再归来~42 分钟前
【Linux庖丁解牛】—进程优先级!
linux·运维·服务器
诡异森林。1 小时前
Docker--Docker网络原理
网络·docker·容器
ALex_zry1 小时前
Docker Macvlan网络配置实战:解决“network already exists“错误
网络·docker·php
半路_出家ren1 小时前
流量抓取工具(wireshark)
网络·网络协议·测试工具·网络安全·wireshark·流量抓取工具
子非衣2 小时前
Windows云主机远程连接提示“出现了内部错误”
服务器·windows