Question

还有一个场景需要提到，就是互联网应用中与业务逻辑相关的安全问题，统称“业务安全”。例如，一个简单的登录页面，可能涉及人机识别、验证码、找回密码功能等，而攻击者可能会利用暴力破解、撞库等方式进行尝试请求；再例如，一个简单的查看个人信息页面，涉及 Session 或 Cookie 验证，而攻击者可能会通过修改 URL 中的 ID 或者修改本地 Cookie 来看其他人的信息。还有一些是关于接口的安全问题，例如，某分类信息网站的简历泄露事件，就是攻击者组合了 3 个不同的接口获取相应信息。

这里的对抗方法，更多从风控角度出发，收集 access 日志、业务日志进行分析，再结合外部情报（黑白名单库）、机器学习等，是一个非常细分的领域，我们将在第 15 章中详细介绍。