常見的業務邏輯漏洞入侵

前段時間，騰訊官方QQ空間發表的一個說說，說說的內容全是不良廣告。

之後騰訊發布聲明，說該事件是黑客利用業務邏輯漏洞進行的惡意行為。

那什麼是業務邏輯漏洞呢？

所謂業務邏輯漏洞，就是網站存在過濾不嚴、設計不周的情況。

例如三年前，騰訊地圖的一個實時競價頁面就存在一個業務邏輯漏洞。

當時，騰訊地圖由於沒有對請求參數故嚴格檢查，黑客通過精心構造的請求數據導致返回信息中的數據可被利用來執行惡意的Java代碼。

同時伺服器沒有對請求來源進行檢測，因此可以被黑客發動跨站域請求偽造攻擊。

所以說。

業務邏輯漏洞的入侵思路就是通過不斷測試尋找系統漏洞，從而發動攻擊。

這類手段還有很多。

例如...

保險類業務中，線上測試最後生成訂單的賠償金額是不是可以任意修改，如果可以修改就存在漏洞。

會員註冊類業務中，能不能修改VIP價格，是否有一分錢獲得一個月VIP許可權的情況。

預約搶票業務中，測試並發搶票是否可突破一人限N張票的限制，是否可以用同一個驗證碼搶所有票種。

簽到領券業務中，由於簽到領券這類業務，一般只能一天操作一次，操作會有所限制，測試是否可突破次數限制除此之外。

還有就是常見的第三方授權功能。

現在很少有人單獨註冊賬號了，都是通過QQ、微信等賬號登錄某些系統。

如此一來就可以一鍵授權非常方便，然而，第三方平台也會因此掌握大量敏感數據，甚至獲得一些許可權，例如獲得發表QQ空間內容的許可權。

這樣也是存在非常大的安全隱患的。

這也告訴我們，對不常用的第三方平台，我們還是要及時取消授權。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！