iT邦幫忙

2023 iThome 鐵人賽

DAY 30
0

商業邏輯漏洞是什麼?

其實就是在應用程式的設計和實作中出現的小小錯誤,導致有心人士能夠引導程式進行不正常的運作。這通常是因為開發者沒有想到那些特殊的情境,或者是錯誤地估計了用戶的行為。

過度信任客戶端控制

有一個錯誤認知,那就是認為使用者只會透過提供的網頁介面和應用程式互動。假設,客戶端的驗證會阻止使用者提供惡意的輸入。但是,攻擊者其實可以很容易地使用像Burp Proxy這樣的工具,在資料由瀏覽器發送但在傳送到伺服器端邏輯之前,就篡改這些資料。這基本上使得客戶端的控制完全失效。

如果接受資料時,不進行適當的完整性檢查和伺服器端驗證,攻擊者就可以很輕易地造成各種損害。他們能做到的程度,完全取決於功能以及它如何處理可控制的資料。在適當的情境下,這種缺陷可能對業務相關的功能和網站的安全都帶來毀滅性的後果。

Lab time

https://ithelp.ithome.com.tw/upload/images/20231015/20162491UzdZ8L4FTD.png
https://ithelp.ithome.com.tw/upload/images/20231015/20162491IYjz02llQb.png
打開repeater修改價錢看看

productId=1&redir=PRODUCT&quantity=1&price=1300

https://ithelp.ithome.com.tw/upload/images/20231015/20162491Clcvjv1HNI.png
成功被我們修改啦
https://ithelp.ithome.com.tw/upload/images/20231015/20162491jR3UkFxgV6.png


上一篇
[Day 29]SSRF(服務器端請求偽造)攻擊
系列文
從 Moblie Development 主題被損友洗腦鬼轉 Security 的我真的可以完賽嗎?30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言