9成的网站都有商业逻辑漏洞

发布时间：2020-03-10 10:22:58 阅读：次来源：锂电池厂家

中介交易 SEO诊断淘宝客站长团购云主机技术大厅

OWASP（开放网络软件安全组织）日前在台湾举行第一届官方亚洲年会，针对许多Web和Web应用程序安全发表相干演说。其中，前Yahoo资安长Jeremiah Grossman首度发表商业逻辑漏洞（Business Logic Flaws）演说，直指这类商业逻辑漏洞将使得企业网站堕入危机，一个不注意可能致使企业营收损失。

Jeremiah Grossman是白帽（WhiteHat Security）安全资安顾问公司创办人兼技术长，也是美国黑帽（Black Hat）和DefCon黑客年会讲师。他从许多的资安事件产生的缘由，归纳出一个对企业资安的威逼型态：商业逻辑漏洞。

在线拍卖造成可能的商业逻辑漏洞

商业逻辑漏洞其实就是，一般商业逻辑流程进程中，所出现的技术漏洞。曾当过雅虎资安长的Jeremiah Grossman说：「在线拍卖就是一个常见的商业逻辑漏洞的案例。」

他进一步解释，在线购物网站为了避免黑客以暴力手法找出用户的密码，通常会在密码输入毛病数次以后即锁定该账户。有心的黑客若要抢标，就可以利用这个逻辑上的漏洞来死锁其他竞标者，黑客只要以其他竞标者的账号，连续输入毛病的密码来造成该帐户被系统死锁，再趁机抢标。

商业逻辑漏洞产生可能性广泛

这样的商业逻辑漏洞也产生在常见的密码恢复认证机制上。Jeremiah Grossman指出，有许多Web服务机制为了下降解决用户忘记密码的困扰，并下降解决这类问题的本钱，会设立所谓的安全问题，藉由回答安全性问题获得用户密码。不过，便曾产生设定安全性问题时，其答案选项固定，尝试几次就会猜到。例如，安全性问题是最喜欢的色彩为什么？但选项若指有红、黑、白等3个答案时，尝试几次毛病以后，就可以破解了。

另外，美国也有一些专业的产业媒体报道，为了怕影响股价，会在一定日期过后才能公然给特定的授权对象。Jeremiah Grossman说，这些文章其实老早就被上传到网络服务器上，等时间到才开放。但就有人发现每篇文章的网址包括日期数字，具有规则性，透过猜出刊日期与文章数字的方式，轻易拆解出未公然文章的网址，并趁机获利上百万美元。

除在线拍卖可能面临这类商业逻辑漏洞外，一样的方式也产生在交互式网络电视台、苹果MacWorld与Steve Jobs有约、在线游戏、在线赌博等商业流程中。

9成网站具有商业逻辑漏洞

Jeremiah Grossman表示，不论是信用卡事务数据传输，或是密码复原，就是一般常见以Web为主的商业逻辑流程，这其中所有的技术弱点，都会是黑客专注攻击的目标。根据白帽安全资安顾问公司的统计，在扫描将近1000个网站中，将近9成网站，具有商业逻辑流程的技术弱点。

企业使用Web应用程序的比例愈来愈高，Jeremiah Grossman表示，不论这些Web应用程序是客制化或是由第三方厂商提供，大多经过良好的质量控管检测，加上这些可能的商业逻辑漏洞，也很难透过IDS（入侵检测系统）定义出缺点、漏洞在哪，网络应用程序防火墙也很难抵抗这样缺点、漏洞的产生。简而言之，就目前所有的防御工具而言，对这类商业逻辑流程中所造成的技术漏洞，尚不能透过工具进行有效防御措施。

纵深防御是商业逻辑漏洞最好的预防之道

面对这类商业逻辑漏洞该怎样解决？Jeremiah Grossman表示，除避免将用户账号、密码保存在网络上，容易被有心人清查相干隐私外，也建议在密码毛病次数太多被封闭时，可以加上输入图片上数字的CAPTCHA 系统，以避免机器人暴力拆解密码的可能性。

由于这类商业逻辑漏洞问题的出现，常常不是程序本身有大的疏漏，Jeremiah Grossman表示，通常是在配合企业营运流程上的某一个关键点上的疏漏。所以，这样的缺点、漏洞，也没法透过常见的IDS（入侵检测防御系统）等工具检查出来。

但Jeremiah Grossman说，还是有一些基本的预防之道。这类商业逻辑漏洞流量并未异常，因此很难藉由基本的网络应用程序防火墙、弱点扫描、安全的设定等方式，做到防护。但从最好实务的角度来看，最少两名资安专家，佐以自动化的扫描工具，程序开发符合SDLC（软件开发生命周期），做到纵深防御，有助于发现商业逻辑漏洞。

另外，Jeremiah Grossman也建议，企业可做到资产追踪、安全度量和符合开发框架等，也都是有效解决商业逻辑漏洞的方式

SaaS将是未来资安部署的最好选择

Jeremiah Grossman表示，自动化扫描工具将有助于企业检视商业逻辑漏洞的资安威逼。而此次一样来台湾参加OWASP亚洲年会的Qualys首席资安研究员Mike Shema则指出，SaaS已是目前自动化扫描工具的基本型态，企业可以透过SaaS部署企业资安软件。

Mike Shema表示，几年前美国企业对SaaS（软件即服务）的作法还不信任，对数据不寄存在自家公司感到疑虑，但现在，美国企业已理解到：问题不在数据放哪里，而是数据本身是不是够安全。他说，也由于美国企业开始有足够的信任，许多提供自动扫描服务功能的资安公司，例如提供Port Scan的Qualys，都以SaaS方式提供企业客户相干的服务。

白帽（WhiteHat Security）安全资安顾问公司则在多年前便提供网络扫描的服务，也是以SaaS方式提供给企业。Jeremiah Grossman则是从这样的扫描结果，视察出商业逻辑漏洞的资安威逼。

Mike Shema说，对提供自动化扫描服务，企业对SaaS接受度很高，加上目前许多资安服务不触及企业内数据寄存，随着企业Web应用程序运用愈来愈普及，企业对SaaS的资安服务需求将越高。