應(yīng)用程序邏輯攻擊的危害
開(kāi)發(fā)一個(gè)安全的和有效的網(wǎng)站應(yīng)用程序可能是一項(xiàng)艱巨的任務(wù)。此外,無(wú)孔不入的黑客使得這樣的設(shè)計(jì)任務(wù)變得更加困難。在本次我們的“咨詢專(zhuān)家”板塊提供的小技巧中,網(wǎng)絡(luò)應(yīng)用安全專(zhuān)家Michael Cobb講解了黑客們?nèi)绾卫贸绦蜻壿媮?lái)達(dá)成攻擊,同時(shí)也提出了一些阻止攻擊行為的建議。
什么是應(yīng)用程序邏輯?
應(yīng)用程序邏輯描述了由應(yīng)用程序開(kāi)發(fā)者定義的必要步驟,以此來(lái)完成特定的任務(wù)。應(yīng)用程序邏輯的一個(gè)例子是客戶在網(wǎng)上購(gòu)物時(shí),將商品添加到一個(gè)在線購(gòu)物籃后,該客戶還需提供姓名,地址和付款等細(xì)節(jié)才能完成整個(gè)交易的流程。應(yīng)用程序邏輯(也稱為商業(yè)邏輯)并非指一般功能的Web服務(wù)器,而是指應(yīng)用程序某項(xiàng)具體操作的功能,如產(chǎn)品折扣,郵費(fèi)定價(jià)規(guī)則等。應(yīng)用程序邏輯攻擊一般利用應(yīng)用程序的本身特點(diǎn)來(lái)回避或誤用預(yù)期的行為來(lái)實(shí)現(xiàn)攻擊。一般來(lái)說(shuō),這類(lèi)攻擊是針對(duì)一個(gè)網(wǎng)站的,但他們也可以針對(duì)網(wǎng)站的訪客和訪客的私人數(shù)據(jù)。
應(yīng)用程序邏輯攻擊是如何實(shí)現(xiàn)的
不同于常見(jiàn)的應(yīng)用程序攻擊,例如SQL注入,每個(gè)應(yīng)用程序邏輯攻擊通常是獨(dú)一無(wú)二的,因?yàn)樗昧藨?yīng)用程序特有的函數(shù)或特定功能。這使得自動(dòng)漏洞測(cè)試工具更加難以檢測(cè)這種攻擊,因?yàn)樗鼈兪腔谶壿嬋毕荻菍?shí)際的代碼缺陷的。應(yīng)用程序邏輯攻擊之所以成功,往往是因?yàn)殚_(kāi)發(fā)者沒(méi)有將有效的過(guò)程驗(yàn)證和控制機(jī)制引入到應(yīng)用程序中。這種缺乏流程控制的機(jī)制使得攻擊者可以執(zhí)行不正確或不合乎規(guī)程的操作。例如,網(wǎng)絡(luò)購(gòu)物中若購(gòu)買(mǎi)了商品A則可享受其相應(yīng)的折扣,然而如果應(yīng)用程序不能確保在付款時(shí)商品A仍在購(gòu)物車(chē)中,則可能導(dǎo)致不正確的折扣產(chǎn)生,如惡意用戶可以通過(guò)添加商品A獲得折扣,然后刪除A,從而達(dá)到以A的折扣率購(gòu)買(mǎi)產(chǎn)品B的目的。
應(yīng)用程序邏輯攻擊的類(lèi)型
當(dāng)攻擊者反復(fù)利用應(yīng)用程序的功能時(shí)便可能產(chǎn)生不同類(lèi)型的應(yīng)用程序邏輯攻擊,如能夠新建數(shù)千個(gè)新帳戶或在討論區(qū)張貼重復(fù)的郵件。這種類(lèi)型的攻擊濫用了應(yīng)用程序的功能但基本沒(méi)有或很少修改原來(lái)的應(yīng)用程序。2005年8月,一個(gè)現(xiàn)實(shí)生活中的此類(lèi)攻擊發(fā)生在天堂撲克(Paradise Poker)在線賭博網(wǎng)站。基于時(shí)間延遲,一些賭徒掌握如何預(yù)測(cè)莊家手中的底牌。這個(gè)安全漏洞使得他們合法地贏取了大量錢(qián)財(cái)!有些應(yīng)用程序邏輯攻擊能夠?qū)е戮芙^服務(wù)或惡意放大傳播。惡意放大傳播指攻擊者將惡意的跨頁(yè)面的腳本代碼注入到如網(wǎng)頁(yè)聊天室之類(lèi)的應(yīng)用中,利用這類(lèi)應(yīng)用的傳播特性使這些惡意代碼傳播開(kāi)來(lái)。
應(yīng)用程序邏輯攻擊:防范措施
防止應(yīng)用程序邏輯攻擊的關(guān)鍵是要執(zhí)行完整性檢查及確認(rèn),并在應(yīng)用程序開(kāi)發(fā)周期的起始就完善設(shè)計(jì)需求。Web應(yīng)用程序開(kāi)發(fā)人員還需在應(yīng)用程序開(kāi)發(fā)伊始便建立起安全和流程控制。不幸的是,許多應(yīng)用程序是在設(shè)計(jì)開(kāi)發(fā)完成后才開(kāi)始測(cè)試和安全檢測(cè)的工作。直到越來(lái)越多的開(kāi)發(fā)者開(kāi)始意識(shí)到規(guī)范編碼和代碼測(cè)試的重要性之前,應(yīng)用程序邏輯攻擊仍將是攻擊者有效的攻擊手段。
【編輯推薦】
