07逻辑漏洞-课件.ppt

商业逻辑漏洞攻击 未来分析： 据统计，这些商业逻辑攻击在恶意攻击流量中占到 14%。 黑客可以利用应用程序截获私人信息，进行扭曲，并外泄给其他更多的用户，而这些行为通常不受安全控制。 一旦商业逻辑攻击(BLA)与高级可持性(APT)类攻击相结合，所爆发出来的网络商战威力将不容小视。 逻辑漏洞攻击防御 逻辑漏洞攻击防御概述 鉴于逻辑漏洞的本质，即使实施安全开发标准、使用代码审查工具或常规渗透测试，我们仍然无法避免这种缺陷。逻辑漏洞的多样性特点使得探查与防止他们往往需要从各个不同的角度思考问题，这预示着在很长一段时期内，逻辑缺陷仍将大量存在。 基于开发流程及设计的预防 基于网络行为识别的防御 基于开发流程及设计的预防 遵循以下最佳实践可以显著降低在应用程序中出现逻辑缺陷的风险： 确保将应用程序中各个方面的设计信息清楚、详细的记录在文档中，以方便其他人员了解设计者做出的每个假设。 要求所有源代码提供清楚的注释，包含但不限于以下内容： 每个代码组件的用户和预计用法。 每个组件对它无法直接控制内容做出的假设。 清楚记录所有调用组件的代码效果。 基于开发流程及设计的预防 在以安全为中心的应用程序设计审核中，考虑在设计中做出的每一个假设，并想象假设被违背的每种情况。 在以安全为中心的代码审查过程中，从各个角度考虑一下两个因素： 应用程序如何处理用户的反常行为和输入。 不同代码组件与应用程序功