想象一下：您的開發團隊剛推出了一款令人驚嘆的全新應用程序，它具有頂級的API安全性，通過客戶端保護對其進行了強化，甚至還設置了針對機器人攻擊的防御措施。你感到這款產品很有安全保障，自己的團隊出色地完成了工作。

但有一點要特別之處的是，盡管您付出了很多努力，但您的應用程序仍然可能面臨受到攻擊的風險。事實上攻擊甚至可能不會觸發單個安全警報，這種攻擊風險來自于業務邏輯。如果您尚未將業務邏輯攻擊 (BLA) 作為威脅建模的一部分進行評估，那么您應該立即重新評估您的產品。

隨著各類前后端框架的成熟和完善，傳統的SQL注入、XSS等常規漏洞在Web系統里逐步減少，而攻擊者更傾向于使用業務邏輯漏洞來進行突破。業務邏輯漏洞，具有攻擊特征少、自動化脆弱性工具無法掃出等特點，也為檢測和軟件的安全性保障帶來了一定的難度。

什么是業務邏輯？

業務邏輯通常由一組規則或者算法來描述業務流程，涉及到數據的處理、存儲、分析和展示等方面，它是一個抽象的概念，在軟件開發中占據著重要的地位。在面向對象編程中，業務邏輯通常被封裝在對象的方法中，以此來實現對數據的操作和處理。在Web應用程序中，業務邏輯通常會包含在Controller層中，用于處理用戶請求和響應結果。因此，業務邏輯是程序中最核心的部分，決定了整個程序的運行流程和結果。

業務邏輯本質上就是對真實業務的映射與抽象，實際上，我們口口聲聲的業務邏輯，只是用代碼實現的真實業務的規則映射。

什么是業務邏輯漏洞？

業務邏輯漏洞是一類特殊的安全漏洞，業務邏輯漏洞屬于設計漏洞而非實現漏洞，是業務邏輯設計不嚴謹導致的漏洞。

業務邏輯漏洞通常是由于無法預期可能發生的異常應用程序狀態，因此無法安全處理它們所導致的。這些缺陷通常對那些沒有明確尋找它們的人來說是不可見的，因為它們通常不會在應用程序的正常使用中暴露出來。但是，攻擊者可以通過開發人員從未想過的方式與應用程序進行交互來利用這些漏洞。常見的業務邏輯漏洞如：參數篡改、重放攻擊、流程漏洞等。

什么是業務邏輯攻擊

業務邏輯攻擊是一種網絡攻擊，網絡攻擊者利用應用程序的預期功能和流程，而不是其技術漏洞。他們操縱工作流程，繞過傳統安全措施，并濫用合法功能來獲得未經授權的訪問或造成損害，而不觸發安全警報。

業務邏輯漏洞產生的核心原因：

編程時，只考慮了常規的操作流程（如在A情況下，就會出現B，此時執行C即可）沒有考慮當用戶執行了意料之外的X時會發生什么。這種對于異常情況的欠考慮，最終導致了安全漏洞的產生。

業務邏輯漏洞的主要特點：

獨特性：通常與特定應用程序的業務流程密切相關。
難以檢測：由于它們與應用程序的正常功能密切相關，因此使用常規的自動化工具難以發現。
非技術性：往往與邏輯流程和業務決策有關，而不是技術實現。

邏輯漏洞主要產生的位置

①.登錄處 ? ?
②.業務辦理處 ? ?
③.驗證碼處 ? ?
④.支付處 ? ?

登錄處存在的邏輯漏洞

1.可以暴力破解用戶名或密碼

沒有驗證碼機制，沒有根據用戶名限制失敗次數，沒有根據ip限制失敗次數等等

2.session沒有清空

登出后服務器端的session內容沒有清除，因此客戶端重新帶回登出前的session，也能夠達到重新登錄

業務辦理處存在的邏輯漏洞

1.水平越權

通常說的越權一般是修改get或者post參數，導致的查看到他人的業務信息，一般看訂單處，個人信息處等位置的參數

2.篡改手機號

在需要手機號的短信驗證處，抓包修改手機號，可能做到非本賬號手機號獲取能夠編輯本賬號的驗證碼

驗證碼處存在的邏輯漏洞

1.登錄驗證碼未刷新

沒有清空session中的驗證碼信息

2.手機或郵箱驗證碼可爆破

沒有對應的手機號或郵箱，但如果驗證碼純數字4,5位左右，沒有次數校驗，可以爆破

3.手機或郵箱驗證碼回顯到客戶端

在發送給手機或者郵箱驗證碼時，會在response包中有驗證碼，因此不需要手機和郵箱就可以獲取驗證碼

支付處存在的邏輯漏洞

1.修改商品編號?

如果業務是通過商品編號來判斷價格的話，可能存在只修改A商品編號為B商品編號，做到以A商品的價格購買B商品

2.金額修改

金額直接寫在了post或者get請求中，對其進行修改達到修改了商品金額的效果

3.商品數量修改

在購買時，如果一個商品為負數，那么它的價格則會是負數，如果購買多種商品，將其中一個設為負數，降低整體的價格

邏輯漏洞的特殊性與重要性

常見的OWASP漏洞，比如SQL注入漏洞，或多或少都具有某些識別特征，都是可以被漏洞掃描工具給自動或半自動化地掃描出來的，但是這樣的工具卻很難準確捕捉業務邏輯漏洞----這是因為業務邏輯漏洞本質上屬于設計漏洞，是結構上的而不是實現上的，每一個業務邏輯漏洞都有它的獨特性，很難復制或通過腳本捕獲，因此邏輯漏洞大多需要配合代碼審計和手工測試才能被發現---邏輯漏洞是工具無法替代手工的一類漏洞。

為什么要重視業務邏輯攻擊

1、傳統的安全措施還不夠

雖然Web應用程序防火墻 (WAF) 對于保護應用程序至關重要，但它無法完全防范業務邏輯攻擊。由于 BLA的特質，典型的安全解決方案通常無法檢測和阻止這些威脅。

2、數據丟失和財務損失的風險

成功的業務邏輯攻擊可能會導致敏感數據被盜，包括個人詳細信息和財務信息，從而導致代價高昂的數據泄露甚至財務損失。比較典型的例子是身份驗證繞過，攻擊者繞過身份驗證過程，并可以通過升級權限或訪問敏感信息來濫用應用程序內的業務邏輯，這可能會導致關鍵數據丟失并損害公司聲譽。

3、聲譽受損的可能性

數據丟失或成功的業務邏輯攻擊可能會導致公司的聲譽受損。在消費者對其在線安全越來越謹慎的時代，任何攻擊都可能迅速損害您的業務，導致客戶流失、收入減少或品牌玷污，甚至帶來法律后果。解決 BLA 對于維持公眾信任和讓客戶滿意至關重要。

4、應用程序和API的復雜性增加

隨著應用程序和API變得越來越復雜，與保護它們相關的風險和困難也隨之增加。分布式微服務、多云架構以及API使用的快速增長使得理解和解決業務邏輯攻擊帶來的獨特安全挑戰變得至關重要。

如何保護應用程序免受 BLA 的侵害

可以采取以下步驟來保護應用程序免受它們的侵害：

1、了解業務邏輯：了解應用程序的工作流程、流程和預期的用戶行為，以識別潛在的弱點和漏洞。

2、實施高級應用程序安全性：投資專門用于管理和保護API的高級安全解決方案，例如應用程序安全平臺。這將有助于識別破壞授權、機器人攻擊等威脅，并防御業務邏輯攻擊。

3、監控和分析用戶行為：采用可以分析用戶行為（包括應用程序使用模式）并檢測可能表明潛在BLA的可疑活動的工具和技術。

4、分段和控制訪問：限制API的范圍并根據用戶角色實施訪問控制，最大程度地減少攻擊成功時的潛在損害。

5.使用代碼審計產品：幫助企業從安全角度對應用系統的所有邏輯路徑進行測試，通過分析源代碼，充分挖掘代碼中存在的安全缺陷以及規范性缺陷。找到普通安全測試所無法發現的如二次注入、反序列化、xml實體注入等安全漏洞。主要的內容在于：

1.系統所用開源框架，包含java反序列化漏洞，導致遠程代碼執行。Spring、Struts2的相關安全。

2.應用代碼關注要素，日志偽造漏洞，密碼明文存儲，資源管理，調試程序殘留，二次注入，反序列化。

3.API濫用，不安全的數據庫調用、隨機數創建、內存管理調用、字符串操作，危險的系統方法調用。

4.源代碼設計，不安全的域、方法、類修飾符未使用的外部引用、代碼。

5.錯誤處理不當，程序異常處理、返回值用法、空指針、日志記錄。

6.直接對象引用，直接引用數據庫中的數據、文件系統、內存空間。

7.資源濫用，不安全的文件創建／修改／刪除，競爭沖突，內存泄露。

8.業務邏輯錯誤，欺騙密碼找回功能，規避交易限制,越權缺陷Cookies和session的問題。

9.規范性權限配置，數據庫配置規范，Web服務的權限配置SQL語句編寫規范。

業務邏輯攻擊變得越來越普遍，對應用程序和API的安全構成了重大威脅。為了保護數據、聲譽和客戶免受潛在損害，多層安全方法至關重要，不要因業務邏輯攻擊而措手不及，花時間投資應用程序安全性，才能領先網絡攻擊者一步來保障自己。