@火凤凰
2年前 提问
1个回答
业务逻辑漏洞的防御措施
GQQQy
2年前
目前对于业务逻辑漏洞没有很好修复办法可以通过以下手段进行预防:
确保将应用程序各方面的设计信息清楚、详细地记录在文档中,以方便其他人了解设计者做出的每个假设。同时将所有这些假设明确记录在设计文档中。
要求所有源代码提供清楚的注释,并经过代码审计,要求程序开发人员在编码过程中要注意不能留有逻辑缺陷,对自己编写的代码需要自行检查。
在以安全为中心的应用程序设计审核中,考虑在设计过程中做出的每一个假设,并想象假设被违背的每种情况。尤其应注意任何应用程序用户可完全控制的假定条件。
在以安全为中心的代码审查中,从各个角度考虑以下两个因素,一是应用程序如何处理用户的反常行为和输入,二是不同代码组件与应用程序功能之间的相互依赖和互操作可能造成的不利影响。
权限控制,越权不是技术问题,而是设计问题,当一个系统的业务复杂度不断升高时,它的权限系统也要随之进行升级,和业务高度耦合的而又精简的权限框架能有效的减少越权漏洞出现。