上QQ阅读APP看书,第一时间看更新
2.4 业务逻辑
对于交易所来说,一个逻辑完备、鉴权完整的交易流程必不可少。业务逻辑漏洞独立于其他服务却又容易受到其他安全问题的影响。与SQL注入、XSS等常规Web安全漏洞不同,业务逻辑漏洞利用了业务流程中的程序固有不足、逻辑设计缺陷等,甚至绕过已有安全防护措施,一般防护手段以及安全设备无法防御,因此业务逻辑漏洞一直困扰着广大开发者和安全测试人员。下面给出在经过大量对交易所安全测试后总结出的详细测试列表,并拿出具体案例和大家一起分析存在的安全问题。
对于交易所来说,一个逻辑完备、鉴权完整的交易流程必不可少。业务逻辑漏洞独立于其他服务却又容易受到其他安全问题的影响。与SQL注入、XSS等常规Web安全漏洞不同,业务逻辑漏洞利用了业务流程中的程序固有不足、逻辑设计缺陷等,甚至绕过已有安全防护措施,一般防护手段以及安全设备无法防御,因此业务逻辑漏洞一直困扰着广大开发者和安全测试人员。下面给出在经过大量对交易所安全测试后总结出的详细测试列表,并拿出具体案例和大家一起分析存在的安全问题。