系统业务逻辑的安全漏洞概述

1、系统业务逻辑的安全漏洞概述技术创新，变革未来业务多样化发展有“利益”的地方就有“黑客”有“利益”的地方就有伤害（hei）害（ke）也许各位已经对以下漏洞“司空见惯”应用漏洞Webview远程代码执行AES/DES弱加密Webview明文存储密码SharedPrefs任意读写密钥硬编码风险注入攻击CSRFWebView不校验证书随机数生成函数使用错误中间人攻击从黑客攻击角度分析未来攻击的主战场平衡攻击成本设计缺陷漏洞利用盗窃资产 窃取敏感信息黑客为什么要平衡攻击成本为何”业务逻辑漏洞”成为黑客的主战场资深程序员也在劫难逃安全开发人员的天敌迄今为止“它”没有天敌逃逸各种防护.黑无止境的根源内 部

2、监 管 不 严 格第三方缺陷开 发 水 平 不 一业务发展迅速业务场景中分析业务逻辑“漏洞”购物及修改订单支付交易登录注册活动 抢购红包体验金第三方业务交互修改个人信息领优惠券业务场景衍生的”业务逻辑漏洞”像外行一样思考， 像专家一样实践黑客比我们更了解我们的“业务逻辑”业务系统用户数据库中间件 前置机Web(http/https协议)HTML5广告和应用网站和其他应用系统微信 公众帐号手机APP业务场景之密码重置提交用户名验证用户名存在，执行St2遍历账户篡改响应包内容提交短信验证码请求发送验证码后，执行St3篡改接收短信手机号截获短信验证码St1St2提交 短信验证码验证短信验证码，执行S

3、t4暴力破解验证码篡改响应内容St3提交新密码密码重置成功St4暴力破解验证码篡改响应内容0 x00 （注册）任意用户注册0 x00 （注册）遍历用户0 x00 （登录）撞库0 x00 （登录）手势密码解锁.修改配置文件重置手势密码控制类中某变量调用成功回调方法修校改验配密置码文方件法剩暴余露尝试次数users_config1.xml00 x00（登录） 身份认证三“部”曲Cookie之殇0 x00（登录） 身份认证三“部”曲Token之殇点击业务场景：原手机号不在使用输入别人（攻击目标）的手机号随便输入密码，反馈错误应答包含：token记下token返回正常登录页面

4、输入可以接收短信的手机号0 x00 （登录） 身份认证三“部”曲Token之殇修改应答包中的token为之前获得的token值，并修改userphone为要攻击的手机号便输入密码修改返回包，将rspcode值改为000（注：我们观察到正常登录的rspcode为000）0 x00 （登录） 身份认证三“部”曲Oauth Code之殇业务分析输入合法视频地址点击“确定”并劫持返回包，更改图片缩略图地址0 x00 （登录） 身份认证三“部”曲Oauth Code之殇更改为精心构造的恶意缩略图不幸之人中招0 x00 （找回密码） 任意用户密码重置0 x00 （找回密码）客户端验证码神秘的短信黑客探囊取物0 x01 （交易）任意申贷信用额度劫持Post数据包，修改loanAmt=9900000000000成功任意申贷信用额度0 x02 （支付）支付密码绕过无需密码，只要有（被攻击者的）手机号，就可以登陆验证过手机验证码后，需要输入支付密码，可以直接通过修改应答绕过支付验证修改应答包的rspCode为0000 x03 任意支付密码修改任意邮箱绑定用户中心认证中心更改邮箱新邮箱发送激活邮任意