渗透测试逻辑漏洞原理与验证(5)——业务逻辑问题

不同的项目有不同的功能，不同的功能需要不同的实现，实现这些核心功能的代码就叫业务逻辑。

比如实现两个数求和功能，所写的如何获得任意给定的两个数的和，这个程序实现过程即可成为业务逻辑处理

业务是指一个实体单元向另一个实体单元提供的服务。

逻辑是指根据已有的信息推出合理的结论的规律

业务逻辑是指一个实体单元为了向另一个实体单元提供服务，应该具备的规则与流程。

业务逻辑的内容包括四个部分：

• 领域实体:定义了业务中的对象，对象有属性和行为
• 业务规则:定义了需要完成一个动作，必须满足的条件
• 数据完整性:某些数据不可少
• 工作流:定义了领域实体之间的交互关系

以用户网购衣服为例:

• 领域实体:用户、资金账户、订单、衣服、发货单
• 业务规则:用户点击购买就会生成订单，但必须付了钱才会发货，生成发货单
• 数据完整性:网购必须登录网购平台账号，没有账号就不能成功购买
• 工作流:搜索衣服->找到合适衣服->下单购买 ->付款->收货

每个业务系统都具有不同的业务逻辑，而业务逻辑背后就是人的逻辑，充分了解业务逻辑有助于找出其中的问题所在。

业务逻辑漏洞是指由于程序逻辑不严谨或逻辑太复杂，导致一些逻辑分支不能正常处理或处理错误。

业务逻辑漏洞出现于业务流程中(模块功能)，也就是说网站的部分都有可能存在逻辑错误漏洞。

支付逻辑

支付逻辑漏洞是指系统的支付流程中存在业务逻辑层面的漏洞

支付流程通常为:

• 选择商品和数量 》选择支付和配送方式 》生成订单 》 订单支付 》 完成
• 最常见的支付逻辑漏洞通常是由于服务器端没有对客户端请求数据中金额、数量等 敏感信息做校验。
• 支付逻辑漏洞一般在电子商务网站上容易出现，在支付流程中由于没有对客户端请求数据中的金额、数量等敏感信息作校验，带来“0元购”“1分购”等漏洞，会对商家带来大量经济损失。

支付逻辑漏洞一般有以下几种情况:

• 支付过程中修改支付金额
• 支付过程中修改商品数量
• 支付过程中修改商品编号
• 支付过程中修改商品单价

案例:修改支付金额

选择商品和数量

提交订单确认支付

抓包，修改支付金额

订单支付，观察跳转到支付宝的URL

案例:修改商品数量

查看余额

生成订单

提交订单

抓包，修改商品数量

查看账户余额

预防思路

• 多重校验
• 人工审核(订单数值较大)

其他业务逻辑问题

• API逻辑漏洞
• 客户端与API通信无加密
• 客户端与API通信无身份验证
• 其他安全问题

API逻辑漏洞

在移动互联网的时代，Web服务已经成为了异构系统之间的互联与集成的主要手段，各种Web服务几乎都采用Web API来构建。通过Http协议的形式来以Get/Post方式发送请求,返回json格式(数据更小巧且自描述能力强)的数据。

Web Api接口的访问方式

API逻辑漏洞常见的安全问题

• 参数校验不完善
• 短信、邮箱炸弹
• 关键参数不加密

客户端与API通信无加密

未加密风险

• 凭据
• 传输数据公开
• 资源信息

泄露中间人攻击

客户端与API通信无身份验证

• 信息泄露
• 应用程序被克隆
• 难以应对大规模拒绝服务攻击

重放攻击的模式:

• 短信炸弹
• 重复下单

防止重放攻击

时间戳和随机数的方式防止请求被重放

本文部分图片摘自深信服安全服务认证工程师课程课件中，为方便个人学习使用，勿作商用！！！！文字内容为自己手打，并非直接搬运！如有侵权，请联系删除！！！

本文档所提供的信息仅用于教育目的及在获得明确授权的情况下进行渗透测试。任何未经授权使用本文档中技术信息的行为都是严格禁止的，并可能违反《中华人民共和国网络安全法》及相关法律法规。使用者应当合法合规地运用所学知识，不得用于非法入侵、破坏信息系统等恶意活动。我们强烈建议所有读者遵守当地法律与道德规范，在合法范围内探索信息技术。