业务逻辑漏洞实战

本篇博客主要记录业务逻辑漏洞的题目，从试题来理解逻辑漏洞

Excessive trust in client-side controls(对客户端的过度信任)

Web Application Security, Testing, & Scanning - PortSwigger 这是bp的网站，里面有很多靶场

这题的要求是买价值1337的皮夹克，可是账户里只有100

我们用bp进行抓包

点击添加到购物车，使用bp抓包

这里想到看是否可以直接修改价格

点击forward，进入购物车，看到修改成功

直接买下，看到提示成功

总结：电商类网站在业务流程整个环节，需要对业务数据的完整性和一致性进行保护，特别是确保在用户客户端与服务端、业务系统接口之间的数据传输 的一致性，通常在订购类交易流程中，容易出现服务器端未对用户提交的业务数据进行强制校验，过度信赖客户端提交的业务数据而导致的商品金额篡 改漏洞。商品金额篡改测试，通过抓包修改业务流程中的交易金额等字段，例如在支付页面抓取请求中商品的金额字段，修改成任意数额的金额并提 交，查看能否以修改后的金额数据完成业务流程。 该项测试主要针对订单生成的过程中存在商品支付金额校验不完整而产生业务安全风险点，通常导致攻击者用实际支付远低于订单支付的金额订购 商品的业务逻辑漏洞

商品订购数量篡改

可以看到，余额多了6000，实验成功

总结: 商品数量篡改测试是通过在业务流程中抓包修改订购商品数量等字段，如将请求中的商品数量修改成任意非预期数额、负数等进行提交，查看业务 系统能否以修改后的数量完成业务流程。 该项测试主要针对商品订购的过程中对异常交易数据处理缺乏风控机制而导致相关业务逻辑漏洞，例如针对订购中的数量、价格等缺乏判断而产生 意外的结果，往往被攻击者利用。