第1个回答 2020-09-15
信息和互联带来的不仅仅是便利和高效,大量、敏感和高价值的信息数据和资产,成为恶意攻击者攻击和威胁的主要目标,从早期以极客为核心的黄金年代,到现在利益链驱动的庞大,已经成为任何个人、企业、组织和国家所必须面对的重要问题。
随着“+”的发展,经济形态不断地发生演变。众多传统行业逐步地融入并利用信息通信技术以及平台进行着频繁的商务活动,这些平台(如银行、保险、证券、电商、P2P、O2O、游戏、社交、招聘、航空等)由于涉及大量的金钱、、交易等重要数据,成为了攻击的首要目标,而因为开发人员安全意识淡薄(只注重实现功能而忽略了在用户使用过程中个人的行为对应用程序的业务逻辑功能的安全性影响)、开发频繁迭代导致这些平台业务逻辑层面的安全风险层出不穷(业务逻辑主要是开发人员业务流程设计的缺陷,不仅限于网络层、系统层、层等。比如登录验证的绕过、交易中的数据篡改、接口的恶意调用等,都属于业务逻辑)。目前业内基于这些平台的安全风险检测一般都采用常规的技术(主要基于owasp top 10),而常规的往往忽视这些平台存在的业务逻辑层面风险,业务逻辑风险往往危害更大,会造成非常严重的后果。
一方面随着社会及科技的发展,购物、社交、P2P、O2O、游戏、招聘等业务纷纷具备了在线支付功能。如电商支付系统保存了用户手机号、姓名、家庭住址,甚至包括支付的银行卡号信息、支付密码信息等,这些都是黑客感兴趣的敏感信息。相比SQL注入、XSS漏洞、上传、命令执行等传统应用安全方面的漏洞,现在的攻击者更倾向于利用业务逻辑层面存在的安全问题。这类问题往往容易被开发人员忽视,同时又具有很大的危害性,例如一些支付类的逻辑漏洞可能使企业遭受巨大的财产损失。传统的安全防护设备和措施主要针对应用层面,而对业务逻辑层面的防护则收效甚微。攻击者可以利用程序员的设计缺陷进行交易数据篡改、敏感信息盗取、资产的窃取等操作。现在的黑客不再以炫耀技能为主要攻击目的,而主要以经济利益为目的,攻击的目的逐渐转变为趋利化。