业务逻辑攻击的定义
业务逻辑攻击(Business Logic Attack)是指攻击者利用应用程序的业务规则、流程或设计缺陷,而非传统技术漏洞(如SQL注入、XSS),实现非预期操作或获取利益。这类攻击通常绕过常规安全检测,因逻辑缺陷难以通过自动化工具发现。
常见业务逻辑攻击类型
绕过身份验证
攻击者通过修改参数(如用户ID)、重复请求或跳过步骤,绕过多因素认证或权限检查。例如,通过枚举请求直接访问"密码重置完成"页面。
滥用业务流程
利用业务规则的不严谨性,如电商平台的优惠券重复使用、无限积分兑换,或通过时间差并发请求超量领取奖品。
参数篡改
修改前端传递的不可信参数(如价格、数量),例如将订单金额从100元改为0.1元提交。
逻辑顺序漏洞
跳过关键步骤(如支付流程)直接触发后续操作。例如,未支付状态下通过API调用直接生成订单。
防护措施
输入与权限校验
对所有客户端输入进行服务端强校验,包括参数类型、范围、业务规则(如"用户只能修改自己的订单")。实施最小权限原则,关键操作需二次确认。
业务规则闭环设计
确保流程状态完整,例如订单状态必须严格依赖支付成功回调,避免前端直接标记"已支付"。使用事务锁防止并发请求导致的库存超卖。
日志与监控
记录关键业务操作(如金额变更、权限变更),通过行为分析检测异常模式。例如同一账户短时间内多次领取优惠券应触发告警。
代码审计与测试
在开发阶段进行逻辑漏洞专项测试,通过"攻击者视角"人工复审业务流程。自动化测试需覆盖边缘案例,如负值、超长字符串、非法流程跳跃。
限流与防重放
对高频操作(如短信发送、抽奖)实施限流,使用Token或时间戳防止请求重放。敏感操作需加入CAPTCHA验证。
技术实现示例
python
# 示例:订单价格服务端校验
def create_order(request):
product_id = request.POST.get('product_id')
user_price = float(request.POST.get('price')) # 不可信输入
# 从数据库获取真实价格
real_price = Product.objects.get(id=product_id).price
if abs(user_price - real_price) > 0.01: # 允许微小浮动
raise ValidationError("价格校验失败")
# 继续创建订单逻辑详情点击:https://www.yundun.com/document/news/1926
通过结合严格的服务端校验、流程状态机设计和实时监控,可有效降低业务逻辑攻击风险。