业务逻辑之业务安全

权限安全

复制代码
##### 未授权访问

* 会话漏洞
  * 复制登录状态下的某一功能链接,再其他浏览器或用户直接访问看是否能进入登录状态界面

  <!-- -->

  * 正常会弹出请登录界面,校验身份;如果直接进入控制台则表明存在未授权访问漏洞

<!-- -->

* 存储不安全问题
  * 服务器端的数据不安全存储,就是用户不需要身份验证就能直接访问一些敏感信息,如他人的支付订单,银行卡信息等
复制代码
##### 越权

* 水平越权
  * 同权限账号之间的信息访问(只针对私人数据)

  <!-- -->

  * 查找是否有id等表示身份信息的参数,进行修改看是否能查看到别人的信息

<!-- -->

* 垂直越权
  * 低权限账号访问高权限账号的私人数据,或者执行了高权限账号才能执行的功能

  <!-- -->

  * 添加用户,访问管理员信息等,查看是否有鉴权参数,修改后看是否能获取不同的权限

流程乱序

  • 正常情况下完成一个功能需要按步骤执行一系列操作,如生成订单--》校验身份---》支付----》支付成功
  • 如果存在乱序问题,生成订单后,直接抓取支付成功的数据包修改订单号就能直接完成整个流程;绕过了中间的身份验证
  • 修复

    • 首先建议对敏感信息进行加密处理,例如身份 id、账号密码、订单号、金额等
    • 建议在服务器端对其信息进行二次校验,避免修改乱序等情况

接口调用

复制代码
##### 利用

* 重放攻击
  * 短信轰炸

  <!-- -->

  * 恶意注册

  <!-- -->

  * 无线刷积分/投票

<!-- -->

* 内容编辑
复制代码
##### 防范

* 确保业务接口有保护,只有授权的系统或应用程序可以调用

<!-- -->

* 对接口输入的数据进行验证,防止恶意数据输入和攻击

业务一致性

复制代码
##### 事务完整性

* 所有任务全部成功或全部失败
复制代码
##### 日志记录

* 记录信息,跟踪数据

<!-- -->

* 如医疗系统患者信息
复制代码
##### 利用

* 就是修改一些标志身份的参数信息来获取他人的数据或产品

<!-- -->

* 如
  * 手机号篡改
    * 修改手机号查看他人业务信息

  <!-- -->

  * 邮箱篡改
    * 修改邮箱查看他人业务信息

  <!-- -->

  * 订单id篡改
    * 修改订单号来查看他人订单信息

  <!-- -->

  * 商品编号篡改
    * 修改商品编号以获得高价值商品

  <!-- -->

  * 用户id篡改
    * 看其他用户信息

数据篡改

复制代码
##### 防护

* 使用数据加密、访问控制和数据完整性检查来保护业务数据

<!-- -->

* 通过安全通信协议传输敏感数据
复制代码
##### 场景

* 金融

<!-- -->

* 医疗
复制代码
##### 利用

* 金额修改
  * 通过修改支付过程中的金额实现0元购

<!-- -->

* 数量修改
  * 通过修改购买商品数量为负数或者超过最大数,看是否能完成业务流程

时效绕过测试

复制代码
##### 时间范围

* 如银行业务默认只能查询近三个月的交易明细,通过抓包可以尝试一下修改时限,看能否绕过这个范围
复制代码
##### 时间刷新

* 如出票系统可能默认5s刷新一次,可以尝试设置autoSearchTime=1000(1s);这是在本地设置的,提高刷新率,提高抢票概率

业务安全危害

  • 数据泄露:未经授权的访问或攻击可能导致敏感数据的泄露。这可能包括客户数据、财务信息、知识产权等敏感信息的曝露,损害个人隐私和组织声誉。
  • 数据篡改: 恶意篡改或操纵业务数据可能导致错误的决策、不准确的报告以及可能的法律责任。这对业务运营和声誉造成直接威胁。
  • 服务中断: 业务安全问题可能导致系统服务中断,影响业务的连续性和可用性。这可能导致生产停滞、损失收入和客户满意度下降

防御

  • 访问控制:限制用户对系统资源的访问权限,只允许授权用户访问系统。
  • 数据加密:对重要数据进行加密处理,保护数据的机密性和完整性,防止数据泄露。
  • 安全审计:记录系统的操作日志和安全事件,及时发现和处理安全漏洞。
  • 强化认证:采用多因素认证等方式,提高用户身份验证的安全性。
  • 漏洞修复:及时修复系统中的漏洞和安全缺陷,保证系统的稳定和安全性。
  • 应急响应:建立应急响应机制,及时应对安全事件和威胁,降低损失和影响。
相关推荐
SHUIPING_YANG14 分钟前
根据用户id自动切换表查询
java·服务器·数据库
chao_78934 分钟前
更灵活方便的初始化、清除方法——fixture【pytest】
服务器·自动化测试·python·pytest
枷锁—sha1 小时前
【DVWA系列】——CSRF——Medium详细教程
android·服务器·前端·web安全·网络安全·csrf
枷锁—sha1 小时前
跨站请求伪造漏洞(CSRF)详解
运维·服务器·前端·web安全·网络安全·csrf
scuter_yu1 小时前
腾讯云云服务器深度介绍
服务器·云计算·腾讯云
guts°1 小时前
10-ACL技术
网络·网络协议
群联云防护小杜1 小时前
深度隐匿源IP:高防+群联AI云防护防绕过实战
运维·服务器·前端·网络·人工智能·网络协议·tcp/ip
van叶~1 小时前
Linux探秘坊-------15.线程概念与控制
linux·运维·服务器
2301_780789665 小时前
UDP和TCP的主要区别是什么
服务器·网络协议·web安全·网络安全·udp
_丿丨丨_7 小时前
XSS(跨站脚本攻击)
前端·网络·xss