Web安全之业务逻辑漏洞：价格操纵与优惠券滥用详解 1. 漏洞背景与定义 业务逻辑漏洞 是应用程序在业务逻辑设计或实现上的缺陷，攻击者通过合理但非预期的操作绕过正常业务流程，达到恶意目的。价格操纵与优惠券滥用是典型场景： 价格操纵 ：攻击者篡改商品价格参数（如前端传参、API请求），以低于实际价格完成交易。 优惠券滥用 ：通过重复使用、越权领取或绕过规则等方式，非法获取优惠或利益。 此类漏洞不依赖技术注入（如SQL、XSS），而是利用业务规则漏洞，因此传统WAF难以防御。 2. 漏洞常见场景与攻击手法 2.1 价格操纵漏洞 场景举例 ： 电商平台提交订单时，前端传递商品价格参数至后端，但后端未校验价格一致性。 订阅服务修改套餐价格参数，绕过阶梯定价规则。 攻击步骤 ： 参数发现 ：通过抓包（如Burp Suite）分析价格相关参数（如 price 、 total_amount ）。 参数篡改 ：修改参数值为任意值（如改为0或负数）。 绕过校验 ： 若后端仅依赖前端传入价格，直接篡改即可。 若后端有校验但逻辑不严谨（如只校验格式而非实际值），可能通过科学计数法、负数溢出等方式绕过。 2.2 优惠券滥用漏洞 场景举例 ： 优惠券可无限次使用（未限制使用次数或用户权限）。 优惠券金额或折扣率可由前端控制。 批量领券接口无频率限制或用户身份校验。 攻击手法 ： 重复使用 ：拦截订单请求，重放优惠券使用请求。 越权领取 ：修改领券接口中的用户ID或券码，领取他人优惠券。 规则绕过 ： 修改优惠券门槛（如满100减50改为满1减50）。 组合漏洞（如领取后删除使用记录，实现无限领取）。 3. 漏洞根因分析 过度信任客户端数据 ：后端直接使用前端传递的关键业务参数（价格、折扣），未从服务端重新计算。 缺乏业务链校验 ：未校验操作顺序（如领券前是否满足条件、支付前是否验证价格）。 权限控制缺失 ：优惠券领取/使用接口未绑定用户身份或会话，导致越权操作。 并发处理缺陷 ：未对高频操作（如批量领券）加锁或限流，导致资源耗尽或规则绕过。 4. 防御策略与设计原则 4.1 核心防御原则 服务端权威性 ：所有关键业务参数（价格、库存、用户身份）必须由服务端计算或验证，禁止依赖前端传入。 状态可追溯 ：业务链中各环节（如领券→下单→支付）需记录状态并校验前置条件。 最小权限原则 ：接口严格绑定用户身份，敏感操作（如支付）需二次认证。 4.2 具体实施方案 价格校验机制 ： 下单时，服务端根据商品ID重新查询数据库获取价格，而非使用前端参数。 支付环节对比订单金额与支付金额，不一致则拒绝交易。 优惠券安全设计 ： 优惠券规则（门槛、折扣）仅存储于服务端，使用时校验规则匹配性。 限制使用次数：通过数据库原子操作（如 UPDATE coupons SET count=count-1 WHERE count>0 ）防止超用。 防重放攻击：为每张优惠券生成唯一令牌（Token），使用后立即失效。 并发控制 ： 对领券、下单等高频操作加分布式锁（如Redis锁），避免并发重复请求。 接口限流：针对用户或IP限制单位时间内操作次数。 日志与监控 ： 记录关键操作日志（如价格修改、优惠券使用），实时检测异常模式（如同一用户短时间多次使用优惠券）。 5. 渗透测试与代码审计要点 测试方法 ： 业务流遍历：完整走通业务流程（如注册→领券→下单→支付），分析各环节参数是否可篡改。 接口重放：拦截请求多次重放，观察是否产生异常结果。 越权测试：修改请求中的用户ID、券码等参数，尝试操作他人资源。 代码审计重点 ： 查找直接使用 req.body.price 、 $_POST['coupon'] 等未校验的代码段。 检查数据库更新操作是否非原子性（如先查询后更新，存在并发问题）。 验证权限校验代码是否覆盖所有敏感接口。 6. 总结 业务逻辑漏洞的危害不亚于传统安全漏洞，且更隐蔽。防御需在系统设计阶段融入安全思维，通过服务端权威校验、状态机管理、并发控制等多层防护，结合持续监控，才能有效规避风险。