随笔—业务逻辑漏洞

原创已于 2026-06-16 15:29:50 修改 · 608 阅读

本内容遵循CC 4.0 BY-SA版权协议

标签

#安全 #网络 #web安全

于 2026-04-20 00:11:26 首次发布

一、业务逻辑漏洞挖掘关键点

验证码突破
业务授权安全
业务流程乱序
业务接口调用
时效绕过测试
身份认证安全
业务一致性安全
业务数据篡改
用户输入合规性
密码找回漏洞

（1）未授权访问：用户在没有通过认证授权的情况下能够直接访问需要通过认证才能访问到的页面或文本信息。

（2）越权访问：

越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定。

所以挖掘越权漏洞思路：

水平越权：如果在访问网站数据包中有传输用户的编号、用户组编号或类型综号的时候，那么尝试对这个值进行修改,就是测试越权漏洞的基本。（抓包修改userid/orderid/phone遍历。）
垂直越权：添加用户

如何检测越权漏洞？

最简单的一种检测方式是，首先是通过定位鉴权参数，然后替换为其他账户鉴权参数的方法来发现越权漏洞。

（3）业务流程乱序

（1 顺序执行缺陷导致的支付漏洞：

（2 绕过旧密码和短信验证码修改付款密码：

正常流程：

注意修改付款密码需要两个条件:

可以抓修改支付密码的请求，直接删参数/传空/任意参数，只要后端不校验真实旧密码，直接成功。

抓短信验证最终的提交包，修改短信验证码或者用旧验证码，不请求发送验证码（“获取验证码”），直接提交。

还可以在提交时把手机号改成他人号码，但验证码填自己的，如果后端只校验验证码是否匹配当前会话，不校验手机号归属，可改他人支付密码。

（1）重放攻击

目前大部分投票系统都有做限制，比如同一个IP每天只能投三次票，可尝试用X-Forwarded-For:127.0.0.1来绕过IP限制。

（2）内容编辑

在 App/网站里，用户发布文章、评论、个人资料、商品信息后，会有一个编辑接口，抓包拿到编辑请求包。通过分析数据包，把参数由客户端控制的修改为攻击者想要发送的内容。

（3）实效绕过（时间范围）

针对某些带有时间限制的业务，修改其时间限制范围，例如在某项时间限制范围内查询的业务，修改含有时间明文字段的请求并提交，查看能否绕过时间限制完成业务流程。

直接篡改时间参数：直接修改请求中的明文时间字段，比如将限制近 6 个月的查询请求里的month改为更早的月份，或把start_time设为业务允许范围之前的日期、end_time设为未来日期，尝试获取超出限制的数据。
时间格式变形绕过：通过改变时间的表示形式绕过校验，比如将标准日期转换为时间戳、把横杠分隔的日期改为斜杠格式、使用简写日期，利用后端仅校验特定格式的漏洞。
参数名变形 / 别名测试：更换时间参数的名称，比如将month改为startMonth、start_time改为beginTime，尝试绕过后端仅针对特定参数名的校验逻辑。
并发 / 批量请求绕过：通过同时发送多个不同时间范围的请求，或在批量查询接口中传入多个超出限制的时间点，利用校验逻辑的不足绕过限制