业务逻辑漏洞常见类型分析与JWT测试示例研究.pdfVIP

·6·ComputerEraNo.22025

DOI:10.16644/33-1094/tp.2025.02.002

业务逻辑漏洞常见类型分析与JWT测试示例研究*

1231

胡传甫，王昕葳，周宬，王少青

（1.嘉兴南洋职业技术学院，浙江嘉兴314000；2.嘉兴市公安局；3.嘉兴市新闻传媒中心）

摘要：业务逻辑漏洞是在程序的设计与开发过程中由于应用自身的业务流程存在逻辑缺陷而产生的一种隐蔽性极强

的系统级漏洞。业务逻辑漏洞可按照业务流程的功能模块进行分类，包括登录认证、密码找回、验证码、业务流程、业务

接口调用、业务办理等，常用测试工具有BurpSuite,htpwdScan和JSFinder。本文简要分析了JWT安全威胁，以登录认证

模块的逻辑漏洞为示例展示了JWT攻击测试过程，并提出了一些防范与修复建议。

关键词：逻辑漏洞；漏洞测试；短信炸弹；垂直越权；漏洞修复

中图分类号：TP393.08文献标识码：A文章编号：1006-8228(2025)02-06-05

AnalysisofCommonTypesofBusinessLogicVulnerabilities

andResearchonJWTTestingExamples

1231

HuChuanfu,WangXinwei,ZhouCheng,WangShaoqing

（1.JiaxingNanyangPolytechnicInstitute,Jiaxing,Zhejiang314000,China;2.JiaxingPublicSecurityBureau;3.JiaxingNewsMediaCenter）

Abstract:Businesslogicvulnerabilitiesarehighlycovertsystemlevelvulnerabilitiesthatariseduringthedesignanddevelopment

processofaprogramduetologicalflawsintheapplicationsownbusinessprocesses.Businesslogicvulnerabilitiescanbe

classifiedaccordingtothefunctionalmodulesofbusinessprocesses,includingloginauthentication,passwordretrieval,verification

codes,businessprocesses,businessinterfacecalls,businessprocessing,etc.CommontestingtoolsincludeBurpSuite,htpwdScan,

andJSFinder.ThisarticlebrieflyanalyzesJWTsecuritythreats,usinglogicalvulnerabilitiesinloginauthenticationmodulesasan

exampletodemonstratetheJWTattacktestingprocess,andproposessomepreventionandrepairsuggestion