业务逻辑漏洞——不按规则出牌的黑客攻防

业务逻辑漏洞——不按规则出牌的黑客攻防

摘要：业务逻辑漏洞是指黑客利用应用程序的业务流程缺陷，实现越权操作、低价购买商品、无限兑换积分等目的。这类漏洞无法被通用扫描器发现，需要深度理解业务逻辑。本文通过真实场景（水平越权、垂直越权、支付参数篡改、并发竞态）讲解黑客的利用手法，并提供服务端鉴权、参数签名、数据库锁等防御。

关键词：黑客网站攻击；业务逻辑漏洞；越权；渗透测试；支付篡改；竞态条件

---

一、引言

许多系统通过了SQL注入、XSS等常规安全测试，但仍被黑客攻破，原因往往是业务逻辑上的缺陷。例如，修改订单price参数为1元、越权查看他人订单、并发领完剩余优惠券。这类问题因业务独特而难以大规模检测，但危害极大。

二、常见业务逻辑漏洞类型2.1 水平越权

• 用户A访问用户B的资源，如URL: /order?id=100，修改id后若未验证所有权，即可查看他人订单。
• 防御：服务端验证当前用户是否对资源有访问权限。
  
  

2.2 垂直越权（权限提升）

• 普通用户通过构造管理员接口（如/admin/deleteUser）调用未授权的功能。
• 防御：基于角色的访问控制（RBAC），每个接口独立验证权限。
  
  

2.3 支付篡改

• 商品加入购物车时，修改价格或数量为负数，导致应付金额异常。
• 防御：所有金额相关计算在服务端完成；对金额参数使用签名或加密。
  
  

2.4 并发竞态（Race Condition）

• 优惠券领取接口未加锁，攻击者同时发送上百个请求，可领取多张一次性券。
• 防御：使用悲观锁（SELECT ... FOR UPDATE）或唯一约束（如用户+券种唯一索引）。
  
  

2.5 流程跳过

• 多步表单（如注册、支付流程）直接跳到最后一步提交，绕过中间验证。
• 防御：使用token状态机，记录当前步骤。
  
  

三、渗透测试建议

黑客会手动测试所有业务流程：修改参数值、重复提交请求、使用代理工具重放、尝试特殊顺序。重点关注金额、数量、ID、折扣等参数。

四、防御总体方针

• 永远不信任客户端传入的关键参数：价格、折扣、数量、用户ID等必须在服务端通过会话获取或数据库匹配。
• 完善的权限检查：每个数据操作前验证所有者与角色。
• 使用防篡改签名：对表单所有字段计算HMAC。
• 并发控制：数据库锁或应用层信号量。
• 日志与审计：记录关键操作，异常行为报警。
  
  

五、总结

业务逻辑漏洞是黑客利用开发者思维漏洞而非技术漏洞。防御需要安全团队参与业务设计，并进行针对性渗透测试。