在一些关键的业务场景里,我们最应该关注的安全问题是什么呢?

想到这,发现挺有意思的,于是我重新去梳理了一下业务逻辑方面的内容,做了一张关于业务逻辑安全的思维导图,在整理的过程中,自己的思路越加清晰。分享给屏幕前的你,希望你亦有所获。如有遗漏,欢迎补充。

01、防前端绕过

前端校验增加用户体验,后端校验才能保障接口安全性。

漏洞案例:支付计价的逻辑写在前端,后端没有做数据校验,从而导致0元支付逻辑漏洞。

02、防数据重放

增加防重放机制,防止数据重复提交。

漏洞案例:抽奖接口未做任何限制,可进行数据重发,从而获取大量积分或现金券。

03、防越权绕过

增加用户权限验证,防止用户越权。

漏洞案例:遍历用户id导致用户敏感信息泄露。

04、防流程绕过

业务逻辑拆分需考虑风险,防止用户绕过某些节点,执行后面的流程。

漏洞案例:积分兑换的场景,将积分扣减和兑换拆分为两个接口,攻击者可直接执行兑换,不执行积分扣减。

05、防数据篡改

增加签名认证,防止数据被篡改。

漏洞案例:用户的游戏成绩直接篡改可用于游戏作弊。

06、防高并发攻击

防范业务端的条件竞争,一般的方法是设置锁。

漏洞案例:利用高并发请求抢占时间,从而绕过积分限制实现多次抽奖。

业务逻辑安全思路总结相关推荐

  1. 攻防演练中的业务逻辑漏洞及检测思路

    随着各类前后端框架的成熟和完善,传统的SQL注入.XSS等常规漏洞在Web系统里逐步减少,而攻击者更倾向于使用业务逻辑漏洞来进行突破.业务逻辑漏洞,具有攻击特征少.自动化脆弱性工具无法扫出等特点,也为 ...

  2. 逻辑漏洞——业务逻辑问题

    普及常见业务逻辑漏洞与测试业务逻辑漏洞方法 业务逻辑 不同的项目有不同的功能,不同的功能需要不同的实现,实现这些核心功能的代码就叫业务逻辑.   比如实现两个数求和功能,所写的如何获得任意给定的两个数 ...

  3. react获取id_解决React应用界面开发常见痛点(一)业务逻辑与UI分离

    前言:本系列是针对于React在界面开发痛点的一些解决方案,只是React应用中偏向展示的一环 构建一个业务与UI分离的react应用 本篇是基于HOC方案并未使用Hooks 业务逻辑与UI 在编写一 ...

  4. 业务逻辑层的Helper基类

    业务逻辑(BLL)层的组织,长期以来一直是个困惑.打从开始引入ORM后,BLL层不再出现SQL语句和存储过程,感觉思路清晰了不少,现在自己对BLL结构认识大致上定型,一般根据不同方面的业务逻辑,对应不 ...

  5. ad导入pcd后网络标号消失_如何将后端BaaS化:业务逻辑的拆与合

    BaaS 化的核心其实就是把我们的后端应用封装成 RESTful API,然后对外提供服务,而为了后端应用更容易维护,我们需要将后端应用拆解成免运维的微服务 微服务的拆解和合并,都有一个度需要把握,因 ...

  6. 系统架构师-基础到企业应用架构-业务逻辑层

    一.上章回顾 上章我们主要讲述了系统设计规范与原则中的具体原则与规范及如何实现满足规范的设计,我们也讲述了通过分离功能点的方式来实现,而在软件开发过程中的具 体实现方式简单的分为面向过程与面向对象的开 ...

  7. 【Lilishop商城】No4-1.业务逻辑的代码开发,涉及到:会员B端第三方登录使用及后端接口(微信、QQ等)

    仅涉及后端,全部目录看顶部专栏,代码.文档.接口路径在: [Lilishop商城]记录一下B2B2C商城系统学习笔记~_清晨敲代码的博客-CSDN博客 全篇会结合业务介绍重点设计逻辑,其中重点包括接口 ...

  8. 新BOS2.0物流业务逻辑

    BOS2.0业务逻辑 -第二阶段 13.✔★angularJS点击按钮,校验手机,发送验证码 一.页面导入angular.js在div应用模块和控制器 二.对页面获取验证码按钮,添加click事件 三 ...

  9. 一起业务逻辑导致的ogg故障

    公司生产环境ogg异常中断,该ogg为实时同步,目标端有业务调用 源端hp-ux   Oracle 10.2.0.5 目标端 Linux Oracle 11.2.0.4 ogg11.2.1.0 GGS ...

  10. springboot 使用 redis 监听 key 的过期回调( 模拟设置订单号超时时间, 触发修改订单状态业务逻辑)

    本文Demo地址:https://gitee.com/wslxm/spring-boot-redis 一.redis 配置文件 redis.conf 修改如下 notify-keyspace-even ...

最新文章

  1. POJ 3257 DP
  2. BZOJ3211: 花神游历各国
  3. 问题记录:EntityFramework 一对一关系映射
  4. PyTorch 学习笔记(一):让PyTorch读取你的数据集
  5. 蓝桥杯 ALGO-139 算法训练 s01串
  6. CentOS7通过yum安装Openresty
  7. python server酱_教你如何使用Python向手机发送通知(IFTTT)
  8. Red Hat Enterprise Linux的一些简单操作(备忘录)
  9. 上次遗留下来的XMLUtil的问题
  10. SQL server 2008 安装教程
  11. 暴走恭亲王:Jed McCaleb才是中本聪大魔王?
  12. 智伴机器人wifi键在哪里_智伴机器人介绍和按键功能
  13. 斐讯K2 A6版SZU校园网刷机方法
  14. Thinkpad L430无法识别Trackpoint解决方案
  15. 什么是51单片机最小系统?
  16. Common Lisp 超规范(译文):3. 编译和求值
  17. tensorflow代码翻译成pytorch代码 -详细教程+案例
  18. ​寒武纪思元370系列与飞桨完成II级兼容性测试,联合赋能AI落地实践
  19. ctfshow命令执行
  20. 网页设计中的灰色调配色技巧

热门文章

  1. appium inspector连接appium service
  2. minimax算法_使用Minimax算法玩策略游戏
  3. ECCV 2020 Oral 论文汇总!
  4. 攻防演习防御体系构建之第一篇之介绍和防守的四个阶段
  5. java JDBC编程
  6. python图像手绘效果_如何使用Python实现手绘图效果
  7. 好心情“沉浸式VR静心疗愈—荷塘月色”第二期企业沙龙活动圆满收官
  8. 开发到底要不要转行软件测试?
  9. adb 连接某个wifi_Android中如何使用WIFI来连接ADB
  10. python电化学cv曲线怎么画_cv曲线(电化学cv曲线分析)