某不知名博客
clincat
2023-06-24
目录

业务逻辑漏洞

翻译

原文:https://portswigger.net/web-security/logic-flaws

- name: 翻译
  desc: 原文:https://portswigger.net/web-security/logic-flaws
  bgColor: '#F0DFB1'
  textColor: 'green'
1
2
3
4

# 1业务逻辑漏洞

在本节中,我们将介绍业务逻辑漏洞的概念,并解释 “由于对用户行为的错误假设” 而导致产生这些漏洞的原因。

我们将讨论逻辑缺陷的潜在影响,并教你如何利用它们。你还可以使用我们的 交互式实验室 来练习所学的知识,这些实验室基于我们 在野 遇到的真实错误。

最后,我们将提供一些常规的最佳实践,以帮助和防止 你自己的应用程序中出现此类逻辑缺陷。

Not Found Image

实验室

如果您已经熟悉 业务逻辑漏洞 背后的基本概念,并且只想在一些实际的、易受攻击的目标上练习和利用它们,那么您可以从下面的链接访问本主题中的所有实验室。

View all business logic vulnerabilities labs >> (opens new window)

# 1.1什么是业务逻辑漏洞?

业务逻辑漏洞 是应用程序设计和实现中的缺陷,允许攻击者引发非预期的行为。这可能使攻击者能够操控合法功能 来实现恶意目的。这些缺陷通常是由于 “未能预测可能发生的应用程序异常状态”,因此未能安全地处理它们。

笔记

在此上下文中,术语 “业务逻辑” 只是指 定义应用程序运行方式的规则集。由于这些规则并不总是与业务直接相关,因此一些漏洞也被称为 “应用程序逻辑漏洞” 或简称为 “逻辑缺陷” 。

逻辑缺陷 对于没有明确寻找漏洞的人来说,一般是不可见的,因为它们通常不会 在应用程序的正常使用中暴露出来。但是,攻击者能够通过 “以开发人员从未想过的方式” 与应用程序交互来利用怪异行为。

业务逻辑 的主要目的之一是 “强制实施 在设计应用程序或功能时 定义的规则和约束” 。一般来说,业务规则规定了应用程序 在给定场景发生时应如何进行操作。这包括 防止用户执行会对业务产生 负面影响或根本没有意义 的操作。

逻辑缺陷 可能允许攻击者绕过这些规则。例如,他们无需通过预期的购买工作流程,就能够完成交易。在其他情况下,对用户提供的数据 进行无效或不存在 的验证,可能允许用户对事务关键值 进行任意更改或提交无意义的输入。通过将意外值 传递到服务器端逻辑中,攻击者可能会诱使应用程序 执行不应该执行的操作。

基于逻辑的漏洞可能非常多样化,并且通常是应用程序及其特定功能所独有的。识别它们通常需要一定的人类知识,例如 对业务领域的理解,或 攻击者在给定上下文中可能具有的目标。这使得它们 很难被自动化漏洞扫描程序检测到。因此,逻辑缺陷通常是 漏洞赏金猎人和手动测试人员 的主要目标。

# 1.2业务逻辑漏洞是如何产生的?

业务逻辑漏洞经常出现,因为设计和开发团队 对用户如何与应用程序交互 做出了有缺陷的假设。这些错误的假设 可能导致对用户输入的不充分验证。例如,如果开发人员假设用户 仅通过 Web 浏览器传递数据,则应用程序可能完全依赖于 弱客户端控件来验证输入。攻击者使用代理拦截 将很容易绕过这些控件

最终,这意味着 当攻击者偏离预期的用户行为时,应用程序无法采取适当的措施 来防止这种情况,并且无法安全地处理这种问题。

逻辑缺陷 在过于复杂的系统中尤其常见,甚至开发团队自己也不完全理解。为了避免逻辑缺陷,开发人员需要从整体上了解应用程序。这包括 如何以意想不到的方式 组合不同的功能。

  • 在大型代码库上工作的开发人员,可能无法深入了解 应用程序的所有领域是如何工作的。
  • 负责一个组件的开发人员,可能会对另一个组件的工作方式 做出有缺陷的假设,结果无意中引入了严重的逻辑缺陷。

如果开发人员 没有明确记录所做的任何假设,那么这类漏洞很容易潜入应用程序当中。

# 1.3业务逻辑漏洞的影响是什么?

业务逻辑漏洞的影响 有时可能相当微小。这是一个广泛的类别,其影响差异很大。但是,如果攻击者能够以正确的方式操纵应用程序,则任何非预期的行为 都可能导致高严重性的攻击。一般情况下,古怪的程序逻辑应该得到修复,即使你自己无法弄清楚如何利用它,因为总有别人能够利用该风险。

从根本上说,任何逻辑缺陷的影响都取决于 “它与什么功能相关” 。

  • 例如,如果缺陷存在于 身份验证机制 中,这可能会对整体安全性产生严重影响。攻击者可能利用此漏洞进行权限提升,或完全绕过身份验证,从而访问敏感数据和功能。这也暴露了其他漏洞的攻击面。
  • 金融交易中的逻辑缺陷,显然会导致资金被盗、欺诈等业务的巨大损失。

你还应该注意,即使逻辑缺陷 可能不允许攻击者直接受益,但仍然可能允许恶意者 以某种方式破坏业务。

# 1.4业务逻辑漏洞有哪些示例?

了解业务逻辑漏洞的最佳方法,查看真实案例 并 从所犯的错误中吸取教训。我们提供了各种常见逻辑缺陷的具体示例,以及一些故意易受攻击的网站,以便你可以自己练习利用这些漏洞。

学习更多

业务逻辑漏洞示例 >> (opens new window)

# 1.5如何防范业务逻辑漏洞

简而言之,防范业务逻辑漏洞的关键在于:

  • 确保 开发人员和测试人员 了解应用程序所服务的领域
  • 避免对 用户行为或应用程序其他部分的行为 做出隐式假设

你应该确定 你对服务器端状态 做出了哪些假设,并实现必要的逻辑 来验证这些假设是否得到满足。这包括 在程序执行之前,确保任何输入的值都是可预测的。

确保 开发人员和测试人员 都能够完全理解这些假设,以及理解 应用程序在不同场景中应该如何反应。这可以帮助团队尽早的发现逻辑缺陷。为了促进这一点,开发团队应尽可能遵循以下最佳实践:

  • 为所有 事务和工作流程 维护清晰的设计文档和数据流,并留意在每个阶段所做的任何假设。
  • 编写尽可能清晰的代码。如果对 应用程序的行为 理解不透彻,就很难发现逻辑缺陷。理想情况下,良好的代码不需要文档来理解它。在不可避免的复杂代码情况下,需要生成清晰的文档,确保 其他开发人员和测试人员 知道应用程序的行为,理解 正在进行的假设以及预期行为 的确切内容,这点至关重要。
  • 请注意,应用程序对 组件或其他代码 的任何引用关系(引入第三方代码)。如果恶意方以一种不寻常的方式 操纵这些依赖关系,会产生什么副作用。

由于许多逻辑缺陷 具有相对独特性,所以很容易将其视为 “人为导致的一次性错误” ,并在之后继续犯错。但是,正如我们所展示的,这些缺陷通常是在 构建应用程序的初始阶段就产生的,是不良实践的结果。

首先分析逻辑缺陷存在的原因,以及团队是如何忽略它的,可以帮助你发现流程中的缺点。通过微小的调整,你可以增加以下可能性:在源代码处切断类似缺陷 或 在早期开发过程中捕获缺陷。

编辑 (opens new window)
OS命令注入
业务逻辑漏洞示例

业务逻辑漏洞示例

最近更新
01
API测试笔记
04-30
02
msfvenom
03-29
03
Metasploit
03-29
更多文章>
Theme by Vdoing | Copyright © 2023-2024 Carsaid | MIT License