close
在電商的業務場景里,我們最應該注意哪些安全問題呢?
想到這,發現挺有意思的,於是我重新去梳理了一下業務邏輯方面的內容,總結了一張關於業務邏輯安全的思維導圖,在整理的過程中,自己的思路也越加清晰。
藉此機會分享給屏幕前的小夥伴們,希望你亦有所獲。當然,如果我們同頻,也希望能夠獲得你的反饋與補充。
01、防前端繞過
前端校驗增加用戶體驗,後端校驗才能保障接口安全性。
漏洞案例:支付計價的邏輯寫在前端,後端沒有做數據校驗,從而導致0元支付邏輯漏洞。
02、防數據重放
增加防重放機制,防止數據重複提交。
漏洞案例:抽獎接口未做任何限制,可進行數據重發,從而獲取大量積分或現金券。
03、防越權繞過
增加用戶權限驗證,防止用戶越權。
漏洞案例:遍歷用戶id導致用戶敏感信息泄露。
04、防流程繞過
業務邏輯拆分需考慮風險,防止用戶繞過某些節點,執行後面的流程。
漏洞案例:積分兌換的場景,將積分扣減和兌換拆分為兩個接口,攻擊者可直接執行兌換,不執行積分扣減。
05、防數據篡改
增加簽名認證,防止數據被篡改。
漏洞案例:用戶的遊戲成績直接篡改可用於遊戲作弊。
06、防高並發攻擊
防範業務端的條件競爭,一般的方法是設置鎖。
漏洞案例:利用高並發請求搶占時間,從而繞過積分限制實現多次抽獎。
全站熱搜
留言列表