web业务层攻击在技术上有什么特点

web业务层攻击在技术上的特点：

• 攻击数据缺乏明显特征：与传统的应用层攻击不同，业务层攻击的报文与正常业务的报文并无明显差别。因此，基于特征检测的各种扫描工具和防护设备往往无法起到作用。

• 与业务逻辑高度相关：业务层攻击常常针对目标应用量身定制，攻击者在发起攻击前，都会对应用的业务进行深入的测试和分析，从中挖掘出有利用价值的漏洞。每个用户都预留了用于重置密码的重要联系方式，如手机号码或邮箱。攻击者注册一个用户，并正常使用重置密码功能，在自己的邮箱获取重置密码的凭据后进行密码重置，在这一过程中，攻击者通过截包观察分析请求数据，篡改请求数据中的电子邮箱地址为其他账号的邮箱地址，重放提交，就可以使用自己邮箱中已获取的凭据成功重置其他账号的密码。

• 难以在开发环节避免：应用开发以满足用户需求为优先考量，设计者通常从功能实现而非攻击者的视角去设计系统，同时也普遍缺乏应用安全的知识储备和实践能力。举例来说，在设计 Web 应用的用户登录功能时，从应用开发角度来看，在账号或密码输入错误时，是否要求用户在刷新验证码的同时重新输入帐号信息，是不影响登录功能的正常使用的。对攻击者来讲，这就是一个可利用的漏洞。只要不刷新session，攻击者就可以一直不换验证码去尝试密码，进而导致暴力破解等问题；也可以去尝试用户名，从而爆破用户名列表，再利用社会工程库的数据进行撞库。

• 修补漏洞代价大：业务安全漏洞的修复，并非通过加入一两段验证代码就能达到目的，往往需要修改业务处理流程，甚至很有可能在修补一个已知漏洞时，带来更多新的漏洞。大部分都需要对业务处理流程进行调整，绝非在局部功能上小修小补所能解决。