前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >业务逻辑安全思路总结

业务逻辑安全思路总结

作者头像
Bypass
发布2022-12-01 11:05:56
8050
发布2022-12-01 11:05:56
举报
文章被收录于专栏:Bypass

在电商的业务场景里,我们最应该注意哪些安全问题呢?

想到这,发现挺有意思的,于是我重新去梳理了一下业务逻辑方面的内容,总结了一张关于业务逻辑安全的思维导图,在整理的过程中,自己的思路也越加清晰。

借此机会分享给屏幕前的小伙伴们,希望你亦有所获。当然,如果我们同频,也希望能够获得你的反馈与补充。


01、防前端绕过

前端校验增加用户体验,后端校验才能保障接口安全性。

漏洞案例:支付计价的逻辑写在前端,后端没有做数据校验,从而导致0元支付逻辑漏洞。

02、防数据重放

增加防重放机制,防止数据重复提交。

漏洞案例:抽奖接口未做任何限制,可进行数据重发,从而获取大量积分或现金券。

03、防越权绕过

增加用户权限验证,防止用户越权。

漏洞案例:遍历用户id导致用户敏感信息泄露。

04、防流程绕过

业务逻辑拆分需考虑风险,防止用户绕过某些节点,执行后面的流程。

漏洞案例:积分兑换的场景,将积分扣减和兑换拆分为两个接口,攻击者可直接执行兑换,不执行积分扣减。

05、防数据篡改

增加签名认证,防止数据被篡改。

漏洞案例:用户的游戏成绩直接篡改可用于游戏作弊。

06、防高并发攻击

防范业务端的条件竞争,一般的方法是设置锁。

漏洞案例:利用高并发请求抢占时间,从而绕过积分限制实现多次抽奖。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2022-06-21,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 Bypass 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档