- 综合排序
- 最热优先
- 最新优先
- 来自专栏红日安全
Web安全Day6 – 业务逻辑漏洞实战攻防
本文由红日安全成员: Orion 编写,如有不当,还望斧正。 大家好,我们是红日安全-Web安全攻防小组。 此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起了一个名字叫 Web安全实战 ,希望对想要学习Web安全的朋友们有所帮助。 业务逻辑实战攻防 1.1 逻辑漏洞概述 逻辑漏洞,之所以称为逻辑漏洞,是由于代码逻辑是通过人的逻辑去判断,每个人都有自己的思维,自己的思维容易产生不同想法,导致编写完程序后随着人的思维逻辑产生的不足,大多数逻辑漏洞无法通过防火墙 ,waf等设备进行有效的安全防护,在我们所测试过的平台中基本都有发现,包括任意查询用户信息、任意删除等行为;最严重的漏洞出现在账号安全,包括验证码暴力破解、任意用户密码重置、交易支付、越权访问等等。 下图是简单的逻辑漏洞总结,当然肯定不只这些,逻辑漏洞很多时候需要脑洞大开: 1.3 如何挖掘逻辑漏洞 确定业务流程--->寻找流程中可以被操控的环节--->分析可被操控环节中可能产生的逻辑问题--->
1.3K20发布于 2020-02-21 - 来自专栏我的安全视界观
【业务安全】业务安全之另类隐患
在漏洞回归的时候,也会发现新的隐患; 一条短短的验证码,可能酿成一场事故; 业务安全之另类隐患,希望和大家分享鲜有人说的点点滴滴。 1、系统登录处暴力破解 ---- 1.1 回归漏洞 某业务系统在修复安全问题,并进行部分功能调整后进行安全提测,内容如下: ? 接收到提测邮件后,安全测试人员首先对已知漏洞在测试环境进行验证。 但事已至此,吃一堑需要长一智,在痛苦的经历中学习提高,关于对业务可能造成高风险危害的操作尽量少做或不做: 漏洞扫描、漏洞利用等高危操作,尽量做到事先告知业务方 安全测试前先评估影响范围,尽量确保对业务和用户无影响 2.4 深刻体悟 业务方面的安全隐患,可能不仅仅是由于业务逻辑造成,其他不规范的操作也起到一定的助攻成分。 业务相关的漏洞修复,推动改起来甚至比web漏洞更加难,因为产品要考虑友好度和便捷性。 不过也可以找到其他次之的修复方案,在安全和业务之间找到平衡点,让安全真正的为业务保驾护航。
96730发布于 2018-10-08 - 来自专栏全栈程序员必看
业务安全(逻辑漏洞)
文章目录 业务安全 概述 黑客攻击的目标 业务安全测试流程 测试准备 业务调研 业务建模 业务流程梳理 业务风险点的识别 开展测试 撰写报告 业务数据安全 商品支付金额篡改 前端JS 限制绕过验证 (只注重实现功能而忽略了在用户使用过程中个人的行为对Web 应用程序的业务逻辑功能的安全性影响 )、开发代码频繁迭代导致这些平台业务逻辑层面的安全风险层出不穷(业务逻辑漏洞主要是开发人员业务流程设计的缺陷 另一方面,如今的业务系统对于传统安全漏洞防护的技术和设备越来越成熟,基于传统漏洞入侵也变得越来越困难,增加了黑客攻击的成本。而业务逻辑漏洞可以逃逸各种安全防护,迄今为止没有很好的解决办法。 业务风险点识别应主要关注以下安全风险内容: 业务环节存在的安全风险 业务环节存在的安全风险指的是业务使用者可见的业务存在的安全风险,如注册、登录和密码找回等身份认证环节,是否存在完善的验证码机制、数据一致性校验机制 业务环节间存在的安全风险 业务环节间存在的安全风险,如系统业务流程是否存在乱序,导致某个业务环节可绕过、回退 或某个业务请求可以无限重放。
1.5K20编辑于 2022-09-06 - 来自专栏安全攻防
企业业务安全思考
企业业务安全业务安全的目的在于,让业务正常开展,持续提供预期的服务。业务安全工作,是围绕着业务构建一系列安全风控的制度、工作流、系统、工具、风控规则、运营体系。 业务安全模型:图片其中,业务安全问题应该是薅羊毛问题、爬虫问题、黑灰产问题、坏账问题、水军问题、刷单问题等。比如电商平台的刷单,在电商平台之前,刷单不会成为业务安全问题,刷单这个行为也不会出现。 企业业务安全案例私服魔兽世界因源代码泄露,导致魔兽私服的产生。其根源是数据信息安全方面的问题。但是魔兽私服,直接导致玩家流失,直接造成业务安全问题,修复数据安全问题无法解决这个业务安全问题。 然后分析出来的具体问题及实现措施,可能落到其他安全方面,也可能落到非安全领域。应用安全等方面出现问题,都会对业务造成影响。业务出现问题了,其根源可能不是业务安全问题。 存在业务安全问题,其他安全方面都很好,业务一定会出现问题。总结1、业务安全是新的词,不是新的需求。2、业务安全问题的根源,在业务设计产品设计。3、业务安全没有通用方法论,是紧密围绕业务的。
60641编辑于 2023-08-25 - 来自专栏腾讯云安全专家服务
业务安全(1)-天御内容安全
一、前言 此系列将写一个系列给大家介绍腾讯云上的业务安全产品,希望加深大家对于腾讯业务安全产品的了解和熟悉,使用。 随着互联网业务的发展,各行各业都涉及业务安全问题: 金融中涉及的主要业务安全问题包括账号安全、资金安全、洗钱、骗贷、老赖逾期问题、金融黑中介、薅羊毛等; 社交中面临的主要业务安全问题包括账号安全(盗号、 业务安全是一个不断对抗的过程,腾讯业务安全是基于腾讯20年黑灰产的对抗经验和领先技术打造而成的标准化风控模型,目前已在金融、电商、政务等多个行业落地应用,并覆盖金融领域超过80%的标杆客户。 五、天御文本内容方案 5.1 UGC分类 天御把UGC评论文本类型分为6大类: 不良 不雅 违法违规:UGC中含有违法违规词汇,或法律禁止网上交易的内容 广告:为第三方导流的合法广告,其尺度因平台业务类型而异 八、服务保证指标SLA 8.1 内容安全服务承诺99.9%的业务可用性。 (1)业务可用性 = 图片内容安全服务周期内业务可用时间 / 图片内容安全服务周期内服务总时间。
6.3K130发布于 2020-11-03 - 来自专栏Bypass
业务逻辑安全思路总结
在电商的业务场景里,我们最应该注意哪些安全问题呢? 想到这,发现挺有意思的,于是我重新去梳理了一下业务逻辑方面的内容,总结了一张关于业务逻辑安全的思维导图,在整理的过程中,自己的思路也越加清晰。 ---- 01、防前端绕过 前端校验增加用户体验,后端校验才能保障接口安全性。 漏洞案例:支付计价的逻辑写在前端,后端没有做数据校验,从而导致0元支付逻辑漏洞。 04、防流程绕过 业务逻辑拆分需考虑风险,防止用户绕过某些节点,执行后面的流程。 漏洞案例:积分兑换的场景,将积分扣减和兑换拆分为两个接口,攻击者可直接执行兑换,不执行积分扣减。 06、防高并发攻击 防范业务端的条件竞争,一般的方法是设置锁。 漏洞案例:利用高并发请求抢占时间,从而绕过积分限制实现多次抽奖。
1K30编辑于 2022-12-01 - 来自专栏天存信息的专栏
WEB安全新玩法 业务安全动态加固平台
但是,Web 应用的业务功能日益丰富、在线交易活动愈加频繁,新的安全问题也随之呈现:基于 Web 应用所承载的交易特性,某些利用其业务逻辑设计缺陷来构造的针对具体业务的攻击逐渐成为主流,我们称之为业务层攻击 以传统的应用层安全来讲,这种自动化的模拟完全遵循正常的业务逻辑,提交的业务数据也都是合规数据,因此并未呈现出任何安全问题。 四、修补漏洞代价大 业务安全漏洞的修复,并非通过加入一两段验证代码就能达到目的,往往需要修改业务处理流程,甚至很有可能在修补一个已知漏洞时,带来更多新的漏洞。 基于主体概念,业务安全动态加固平台可以统计访问行为,做出持续的裁决。 因此,在这种解决方案下,Web 安全产生了一种新玩法,即:安全测试人员在发现漏洞后,利用业务安全动态加固平台现场写出修复代码来供开发人员参考,并且在开发人员修复代码之前,可以通过测试人员编写的虚拟补丁来及时地和非侵入式地缓解或解决已发现的业务安全问题
65410发布于 2021-06-22 - 来自专栏顶象技术业务安全专栏
11月业务安全月报
11月业务安全月报 | 台湾2300万人信息泄露;黑客两分钟即可破解安卓锁屏;乌克兰”IT军团“入侵俄罗斯中央银行导语:随着数字化的深入普及,业务愈加开放互联。 企业的关键数据、用户信息、基础设施、运营过程等均处于边界模糊且日益开放的环境中,涉及利益流和高附加值的业务面临多样的安全隐患,随时可能遭遇损失,进而影响企业运营和发展。 为了让大家更全面的了解网络安全的风险,顶象自7月起将针对每月值得关注的安全技术 和事件,包括业务安全、内容安全、移动安全等进行盘点总结。 标准提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护3项基本原则,从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等6个方面提出了 安卓系统可能遭遇重大风险,两分钟可轻松破解锁屏国外网络安全研究员 David Schütz发现了一种极为简单的绕过谷歌Pixel 6 和 Pixel 5 智能手机的锁屏的方法,任何拿到手机的用户都可以解开手机
77550编辑于 2022-12-02 - 来自专栏我的安全视界观
【漏洞赏析】安全业务那些洞
{初衷} 很早之前的某一个月,初步完成了运维安全方面漏洞的总结; 后来实战时思路短缺,恰巧看到业务安全漏洞挖掘归纳总结。 此文章主要是持续记录归纳、总结、实践业务相关漏洞(逻辑漏洞), 正好可以改变渗透测试时、参加众测禁止使用扫描器时的无思绪窘态。 {思路} 关于业务安全那些洞,想说的太多,但是能说出来的却很少。 因为刚开始做业务安全不久,视角、眼光、积淀还远远不够,所以只好把以前的“业务逻辑测试评估”以prezi的形式分享。 <1>挖掘方法 1)浏览网页,查看业务流程 众所周知的渗透第一步是信息搜集,其实挖逻辑漏洞第一步也是如此。倚着柔软的椅子,听着喜欢的节奏,手握鼠标轻快地在目标系统上来回滑动,系统功能映入眼帘。 大佬可能看一眼就知道这个场景可能、或许存在一些安全漏洞,抓个包仔细想想就可能知道参数的来龙去脉以及哪一个参数最重要。逻辑漏洞就是靠思路 >>> 工具,难怪有人会说BURP在手天下我有。
1K90发布于 2018-06-12 - 来自专栏FreeBuf
业务安全架构思维
关于架构的理解有很多人会有误区,认为架构是一个很大的整体框架,像安全架构就是综合所有安全设备的一个框架,其实并不是这样,架构是为了设计系统的元件如何划分、元件之间如何发生相互作用,以及系统中逻辑的、物理的 同时由于业务需要大量调度与查数据库,为避免大量查询语句影响数据库性能,引入redis进行数据缓存来减轻数据库的压力。 这是整体业务的架构思维,那么下面重点来讲一下围绕业务架构思维展开的安全架构思维。 首先明确一点,安全是离不开业务的,任何安全点的设计都应该充分考虑业务。 由于业务都是使用代码实现的,代码审计是必须的安全点,那么在安全架构设计思维初期,首先就要考虑代码审计。 在保证了外部的相对安全后,要考虑内部的相对安全,加密传输无疑是比较大众和方便的一种手段。 同样内部安全永远离不开运维监控的支持,只用做好协同,才能保证相对稳定与安全的服务器环境,而安全、稳定、高效、灵活,才是业务架构的根本所在。
94820发布于 2020-02-20 - 来自专栏全栈程序员必看
Web安全之业务逻辑漏洞
业务逻辑 不同的项目有不同的功能,不同的功能需要不同的代码实现,实现这些核心功能的代码就叫业务逻辑。 业务逻辑漏洞 业务逻辑漏洞是指由于程序逻辑不严谨或逻辑太复杂,导致一些逻辑分支不能正常处理或处理错误。 常见的业务逻辑漏洞 业务逻辑漏洞挖掘过程 确定业务流程—>寻找流程中可以被操控的环节—>分析可被操控环节中可能产生的逻辑问题—>尝试修改参数触发逻辑问题 业务逻辑漏洞 1.URL跳转漏洞 1.1 5.3.修复方法 1.基础安全架构,完善用户权限体系。 2.鉴权,服务端对请求的数据和当前用户身份做校验; 3.不要直接使用对象的实名或关键字。 4.对于可控参数进行严格的检查与过滤! 比如:退押金,按用户原支付订单原路退回; 5.MD5 加密、解密、数字签名及验证,这个可以有效的避免数据修改,重放攻击中的各种问题; 6.金额超过指定值,进行人工审核等。
2.3K20编辑于 2022-09-05 - 来自专栏DevOps持续集成
DevOps推动业务成功的6点原则
6持续监控 没有办法确保逐步的DevOps流程,它的本质是要求跨开发框架的各个要素相互对话。那么如何处理失败呢?您找到它们并立即对其进行修复,这就是持续监视的目的。 原文链接: https://www.veritis.com/blog/devops-capabilities-a-6-point-principle-that-drives-business-success
43320发布于 2021-04-22 - 来自专栏C/C++基础
腾讯业务安全岗 IDP 谈话总结
1.简单回顾 入司将近 6 个多月,从对安全业务的懵懂,到现在独立负责加好友和天御系统,中途遇到了很多问题,在 bear、otis、dongdong 和同事的指导和帮助下,克服和解决问题后,对业务安全工作有了更深入的理解 记忆犹新,接手加好友安全运营业务后,遇到了coati总被骚扰的case。初遇case,手足无措。 2.运营与技术并重 业务安全的工作,起初并不理解,在经过近半年的切身投入后,发现与业务直接关联的工作,是繁杂、琐碎,也是挑战与责任并重的事。 剥丝抽茧,站在更高的维度,使用技术压制恶意,如AI,在准确率与覆盖寻求平衡,才能让自己抽身于繁杂无尽、白热化的安全业务对抗。 奋战在业务安全工作的一线同学,每一个人都要独挡一面,每一个人都是主力。 (6)承诺前,需慎重,承诺后,需慎行; (7)做一个靠谱的人,凡事有交代,件件有着落,事事有回音; (8)提升自身能力,提高工作效率,不要苦劳,而是功劳,争取正常上下班; (9)心之所向,感恩前行
56740编辑于 2022-09-19 - 来自专栏DevOps时代的专栏
业务安全-DevSecOps 的催化剂
业务产品在做到基础安全的同时还做好了业务安全,最终有利于业务部门,有利于老板。 有利于开发测试和运维部门,安全人员怎么给他们提供服务呢? 3.1 业务安全 业务安全是指保护业务系统免受安全威胁的措施和手段,广义的业务安全还包括像IT系统的软硬件平台、操作系统、数据库、中间件,还有业务系统本身的软件设备,还有业务系统的那些服务。 3.2 业务安全的催化作用 3.2.1 安全地满足业务功能需求 最早对于安全来说只会想到软件安全,可能说软件安全仅仅限于代码扫描、漏洞补丁,使用的框架,对于敏捷开发来说功能才是第一位,安全问题等上线了再改 业务安全的催化作用有八大模块:产品描述、产品设计、业务模块,财务模块,业务安全控制模块、基础安全控制模块、清结算模块、产品运营模块。 因为你的业务在不断变化,公司架构肯定也是在不断变化,安全需求变化还是比较频繁的,结合业务来完善基础安全要求,结合业务调整系统构架,同时自动输出开发安全要求、业务安全要求、运维安全要求,这样就真的做好了,
1.1K50发布于 2018-02-02 - 来自专栏DevOps时代的专栏
业务安全与 DevSecOps 的最佳实践
讲师介绍:赵锐,平时负责信息安全工作,主要针对业务风险、信息安全、账户安全、开发安全。 是指保护业务系统免受安全威胁的措施或手段。 广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库等)、业务系统自身(软件或设备)、业务所提供的服务的安全;狭义的业务安全指业务系统自有的软件与服务的安全。 讲师介绍:赵锐,平时负责信息安全工作,主要针对业务风险、信息安全、账户安全、开发安全。 广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库等)、业务系统自身(软件或设备)、业务所提供的服务的安全;狭义的业务安全指业务系统自有的软件与服务的安全。
1.6K20发布于 2018-06-22 - 来自专栏运维之路
数字化转型杂谈6:“数字化业务”之“业务线上化”
金融企业经过20几年的发展,大部份业务都由线上业务系统支撑,业务数字化主要包括业务线上化、数据业务化、业务智能化三个方面。 业务线上化是基于连接、数据、赋能的数字化思维,对成熟的业务场景进行业务重塑,沉淀企业数字化能力,让业务和技术相互融合,扩展业务边界,增加支撑创新业务的能力。 可探索加强多专业背景融合的产品创新模式,建设业务管理、一线业务、产品经理、技术研发等为一体的产品研发团队,通过市场调研、大数据技术等手段分析业务环境,在安全合规前提前,采用设计思维,快速交付产品原型,在细分客户群测试最小可用产品 同时,需建立企业业务产品目录,在业务及技术层面抽象原子化、可整合、可复用的业务资源,加强企业资源整合。 3.业务运营在线:端到端的业务流程再造,提升业务运作效率。 6.风控在线: 建设在线的数字化风控体系 以全在线、可记录、可度量为目标,360度无死角地涵盖各业务线及分支机构的业务范围,通过对业务流程进行重新梳理,借助数字技术力量,围绕实时、数据化、穿透式
2K10发布于 2021-11-12 - 来自专栏腾讯云安全专家服务
业务安全(2)-天御验证码
一、前言 此系列将写一个系列给大家介绍腾讯云上的业务安全产品,希望加深大家对于腾讯业务安全产品的了解和熟悉,使用。 随着互联网业务的发展,各行各业都涉及业务安全问题: 金融中涉及的主要业务安全问题包括账号安全、资金安全、洗钱、骗贷、老赖逾期问题、金融黑中介、薅羊毛等; 社交中面临的主要业务安全问题包括账号安全(盗号、 业务安全是一个不断对抗的过程,腾讯业务安全是基于腾讯20年黑灰产的对抗经验和领先技术打造而成的标准化风控模型,目前已在金融、电商、政务等多个行业落地应用,并覆盖金融领域超过80%的标杆客户。 腾讯云验证码(Captcha)基于十道安全栅栏, 为网页、App、小程序开发者打造立体、全面的人机验证,最大程度地保护注册登录、活动秒杀、点赞发帖、数据保护等各大场景下的业务安全,同时提供更精细化的用户体验 云服务冗余切换机制,人工即时响应 服务,超出预算自动切换基础验证机 制,保证业务的持续运营 保障服务安全 采用动态加密、数据加密技术,保障 整个服务的安全性 四、使用常见问题和案例 1.验证码接入
3.1K141发布于 2020-12-02 - 来自专栏腾讯安全
腾讯安全黎巍:业务上线之初就要把安全纳入考量
作为重点互联网企业代表,腾讯经历了中国互联网的全部周期,其如何做好业务安全?对比传统安全厂商,互联网企业的数字化安全实践有何不同? 图片业务上线之初就要把安全纳入考量南都:在社交网络业务安全、云计算安全领域,近些年面临的安全威胁和以往相比有什么变化? 整个腾讯安全,最近几年主要聚焦To B的安全,现在也围绕云安全构建整个安全体系,包括基础安全和业务安全,最近几年都在发力。 此外,我们在面向业务场景的安全做了非常多的探索,包括在反欺诈,包括网络和电信安全,各种流量方面的业务安全攻击方面,是我们这几年大力投入和发展的方向。 互联网企业相对传统企业而言,会面临更多来自业务逻辑层面的风险,也叫做“业务安全”,例如羊毛党、黄牛党、违规内容、虚假广告等等,因此互联网企业做安全会更加关注业务发展,安全建设不仅仅是企业的底线,更是决定企业发展的天花板
48020编辑于 2022-09-19 - 来自专栏绿盟科技研究通讯
《云原生安全: 攻防实践与体系构建》解读:业务安全篇
《云原生安全: 攻防实践与体系构建》解读:业务安全篇 随着云原生技术的发展,业务系统从原有的单体架构逐步转换为微服务架构。微服务架构使应用的开发和业务的扩展变得更加便利,同时也带来了许多新的安全问题。 那么,生长在云原生环境下的业务系统面临着哪些安全隐患?攻击者如何利用这些隐患对业务系统进行攻击?针对所存在的隐患和可能面临的攻击如何进行异常检测和安全防护? 在享受微服务为开发带来便捷的同时,安全性也成为了不可忽视的问题。若是业务系统出现安全问题,由于微服务架构整个应用被分成多个服务,定位故障点将会非常困难。 《云原生安全:攻防实践与体系构建》书籍中融合了笔者以及其他作者在业务安全上的研究经验,盼望此书籍可为广大读者在微服务业务安全上的研究提供帮助。 本文旨在对《云原生安全:攻防实践与体系构建》书籍中的业务安全部分进行精华解读。若需要详细了解云原生业务安全或希望对云原生安全有更加宏观的了解,请参照具体书中章节,若有任何问题可随时联系作者。
1.1K30发布于 2021-11-10 - 来自专栏F12sec
业务安全之短信&邮箱验证码
短信&邮箱验证码轰炸 本文对目前网络上与业务安全相关的短信&邮箱验证码进行整理。 收集自: 国外BountyTips 乌云漏洞库 各大安全类媒体(论坛、公众号等) 0x01 特殊符号绕过短信&邮箱轰炸限制 Request phone=111*****123 或 email=test@ uid=bI5ic82NWiGyJ0N2LJqTerytFYVGC6CPj4oNOH3b 额外的补充 漏洞挖掘在于细心尝试,可能前台登陆处发送短信验证码不存在任何漏洞,但是可以尝试登陆后查看后台中是否有与发送短信
4.1K20编辑于 2022-12-30
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号