開發(fā)一個(gè)安全的和有效的網(wǎng)站應(yīng)用程序可能是一項(xiàng)艱巨的任務(wù)。此外，無孔不入的黑客使得這樣的設(shè)計(jì)任務(wù)變得更加困難。在本次我們的“咨詢專家”板塊提供的小技巧中，網(wǎng)絡(luò)應(yīng)用安全專家Michael Cobb講解了黑客們?nèi)绾卫贸绦蜻壿媮磉_(dá)成攻擊，同時(shí)也提出了一些阻止攻擊行為的建議。

什么是應(yīng)用程序邏輯？

應(yīng)用程序邏輯描述了由應(yīng)用程序開發(fā)者定義的必要步驟，以此來完成特定的任務(wù)。應(yīng)用程序邏輯的一個(gè)例子是客戶在網(wǎng)上購物時(shí)，將商品添加到一個(gè)在線購物籃后，該客戶還需提供姓名，地址和付款等細(xì)節(jié)才能完成整個(gè)交易的流程。應(yīng)用程序邏輯（也稱為商業(yè)邏輯）并非指一般功能的Web服務(wù)器，而是指應(yīng)用程序某項(xiàng)具體操作的功能，如產(chǎn)品折扣，郵費(fèi)定價(jià)規(guī)則等。應(yīng)用程序邏輯攻擊一般利用應(yīng)用程序的本身特點(diǎn)來回避或誤用預(yù)期的行為來實(shí)現(xiàn)攻擊。一般來說，這類攻擊是針對(duì)一個(gè)網(wǎng)站的，但他們也可以針對(duì)網(wǎng)站的訪客和訪客的私人數(shù)據(jù)。

應(yīng)用程序邏輯攻擊是如何實(shí)現(xiàn)的

不同于常見的應(yīng)用程序攻擊，例如SQL注入，每個(gè)應(yīng)用程序邏輯攻擊通常是獨(dú)一無二的，因?yàn)樗昧藨?yīng)用程序特有的函數(shù)或特定功能。這使得自動(dòng)漏洞測(cè)試工具更加難以檢測(cè)這種攻擊，因?yàn)樗鼈兪腔谶壿嬋毕荻菍?shí)際的代碼缺陷的。應(yīng)用程序邏輯攻擊之所以成功，往往是因?yàn)殚_發(fā)者沒有將有效的過程驗(yàn)證和控制機(jī)制引入到應(yīng)用程序中。這種缺乏流程控制的機(jī)制使得攻擊者可以執(zhí)行不正確或不合乎規(guī)程的操作。例如，網(wǎng)絡(luò)購物中若購買了商品A則可享受其相應(yīng)的折扣，然而如果應(yīng)用程序不能確保在付款時(shí)商品A仍在購物車中，則可能導(dǎo)致不正確的折扣產(chǎn)生，如惡意用戶可以通過添加商品A獲得折扣，然后刪除A，從而達(dá)到以A的折扣率購買產(chǎn)品B的目的。

應(yīng)用程序邏輯攻擊的類型

當(dāng)攻擊者反復(fù)利用應(yīng)用程序的功能時(shí)便可能產(chǎn)生不同類型的應(yīng)用程序邏輯攻擊，如能夠新建數(shù)千個(gè)新帳戶或在討論區(qū)張貼重復(fù)的郵件。這種類型的攻擊濫用了應(yīng)用程序的功能但基本沒有或很少修改原來的應(yīng)用程序。2005年8月,一個(gè)現(xiàn)實(shí)生活中的此類攻擊發(fā)生在天堂撲克（Paradise Poker）在線賭博網(wǎng)站?；跁r(shí)間延遲，一些賭徒掌握如何預(yù)測(cè)莊家手中的底牌。這個(gè)安全漏洞使得他們合法地贏取了大量錢財(cái)！有些應(yīng)用程序邏輯攻擊能夠?qū)е戮芙^服務(wù)或惡意放大傳播。惡意放大傳播指攻擊者將惡意的跨頁面的腳本代碼注入到如網(wǎng)頁聊天室之類的應(yīng)用中，利用這類應(yīng)用的傳播特性使這些惡意代碼傳播開來。

應(yīng)用程序邏輯攻擊：防范措施

防止應(yīng)用程序邏輯攻擊的關(guān)鍵是要執(zhí)行完整性檢查及確認(rèn)，并在應(yīng)用程序開發(fā)周期的起始就完善設(shè)計(jì)需求。Web應(yīng)用程序開發(fā)人員還需在應(yīng)用程序開發(fā)伊始便建立起安全和流程控制。不幸的是，許多應(yīng)用程序是在設(shè)計(jì)開發(fā)完成后才開始測(cè)試和安全檢測(cè)的工作。直到越來越多的開發(fā)者開始意識(shí)到規(guī)范編碼和代碼測(cè)試的重要性之前，應(yīng)用程序邏輯攻擊仍將是攻擊者有效的攻擊手段。

【編輯推薦】

1. 企業(yè)需要在應(yīng)用程序開發(fā)時(shí)保證數(shù)據(jù)安全
2. 應(yīng)用程序安全從開發(fā)階段開始
3. Web應(yīng)用程序安全性問題本質(zhì)解密