Question

近年来，随着信息化技术的迅速发展和全球一体化进程的不断加快，计算机和网络已

经成为与所有人都息息相关的工具和媒介，个人的工作、生活和娱乐，企业的管理，乃至

国家的发展和改革都无出其外。信息和互联带来的不仅仅是便利和高效，大量隐私、敏感

和高价值的信息数据和资产，成为恶意攻击者攻击和威胁的主要目标，从早期以极客为核

心的黑客黄金年代，到现在利益链驱动的庞大黑色产业，网络安全已经成为任何个人、企

业、组织和国家所必须面对的重要问题。“网络安全和信息化是事关国家安全和国家发

展、事关广大人民群众工作生活的重大战略问题，没有网络安全就没有国家安全，没有信

息化就没有现代化。”

随着“互联网+”的发展，经济形态不断地发生演变。众多传统行业逐步地融入互联网

并利用信息通信技术以及互联网平台进行着频繁的商务活动，这些平台（如银行、保险、

证券、电商、P2P、O2O、游戏、社交、招聘、航空等）由于涉及大量的金钱、个人信

息、交易等重要隐私数据，成为了黑客攻击的首要目标，而因为开发人员安全意识淡薄

（只注重实现功能而忽略了在用户使用过程中个人的行为对 Web 应用程序的业务逻辑功能

的安全性影响）、开发代码频繁迭代导致这些平台业务逻辑层面的安全风险层出不穷（业

务逻辑漏洞主要是开发人员业务流程设计的缺陷，不仅限于网络层、系统层、代码层等。

比如登录验证的绕过、交易中的数据篡改、接口的恶意调用等，都属于业务逻辑漏洞）。

目前业内基于这些平台的安全风险检测一般都采用常规的渗透测试技术（主要基于 owasp top 10），而常规的渗透测试往往忽视这些平台存在的业务逻辑层面风险，业务逻辑风险

往往危害更大，会造成非常严重的后果。

为何业务逻辑漏洞会成为黑客的主要攻击目标？

一方面随着社会及科技的发展，购物、社交、P2P、O2O、游戏、招聘等业务纷纷具

备了在线支付功能。如电商支付系统保存了用户手机号、姓名、家庭住址，甚至包括支付

的银行卡号信息、支付密码信息等，这些都是黑客感兴趣的敏感信息。相比 SQL 注入漏

洞、XSS 漏洞、上传、命令执行等传统应用安全方面的漏洞，现在的攻击者更倾向于利用

业务逻辑层面存在的安全问题。这类问题往往容易被开发人员忽视，同时又具有很大的危

害性，例如一些支付类的逻辑漏洞可能使企业遭受巨大的财产损失。传统的安全防护设备

和措施主要针对应用层面，而对业务逻辑层面的防护则收效甚微。攻击者可以利用程序员

的设计缺陷进行交易数据篡改、敏感信息盗取、资产的窃取等操作。现在的黑客不再以炫

耀技能为主要攻击目的，而主要以经济利益为目的，攻击的目的逐渐转变为趋利化。

另一方面，如今的业务系统对于传统安全漏洞防护的技术和设备越来越成熟，基于传

统安全漏洞入侵也变得越来越困难，增加了黑客的攻击成本。而业务逻辑漏洞可以逃逸各

种安全防护，迄今为止没有很好的解决办法。这也是为什么黑客偏好使用业务逻辑漏洞进

行攻击的一个原因。

本书中我们将围绕业务场景中可能存在的业务安全问题介绍详细的测试方法。