系统安全防护中的业务逻辑漏洞检测与防御策略

摘要

近年国内多次开展系统安全防护,从攻击者的角度帮助防守方发现系统中存在的漏洞,其中多以服务器、中间件、第三方组件等通用漏洞和SQL注入、XSS等常规漏洞为主。随着通用漏洞和常规漏洞被整改修复和系统得到安全设备的防护,此类漏洞在系统安全防护中明显减少;而业务逻辑漏洞具有攻击特征少和不可预见性的特点,很难通过传统安全设备发现,业务逻辑漏洞必将成为攻击者的主要突破口。文章针对业务逻辑漏洞的产生原因,总结了一套业务逻辑漏洞的检测流程,以电商平台的业务场景进行实例分析,演示业务逻辑漏洞的危害,最后,介绍了一些有针对性的防御策略。