业务逻辑攻击的兴起
业务逻辑攻击指攻击者绕过技术层面的安全措施,直接滥用应用设计中固有的业务流程与逻辑漏洞,以获取非法利益或造成损害。与传统利用代码缺陷的攻击(如 SQL 注入、XSS)不同,业务逻辑攻击针对应用的核心功能,例如积分滥用、优惠券作弊、抢购黄牛等场景,难以通过常规漏洞扫描工具检测。
当前主流框架(如MITRE ATT&CK、Kill Chain)主要聚焦技术漏洞,对业务逻辑攻击的建模存在明显不足。这一理论空白催生了OWASP BLADE框架的诞生。
OWASP BLADE框架简介
业务逻辑攻击定义框架:BLADE框架[1](Business Logic Attack Definition Framework)是一个开源知识库,用于帮助网络安全专业人员识别攻击者利用面向 Web 的系统(网站和 API)业务逻辑漏洞所使用的阶段、策略和技术。
该框架最初由网络安全公司 Netacea 于 2022 年开发,并于 2025 年正式成为 OWASP 官方项目。
-
• 项目主页:https://owasp.org/www-project-blade-framework -
• 项目状态:目前为OWASP实验室(Lab)项目 -
• 许可: GPL
BLADE 框架的关键组成部分
BLADE 框架围绕以下核心概念构建:
-
• 阶段 (Phases): 描述攻击者在滥用业务逻辑时通常会经历的步骤,例如资源开发、侦察和攻击执行。 ![业务逻辑攻击定义框架:OWASP BLADE]( "业务逻辑攻击定义框架:OWASP BLADE")
-
• 策略 (Tactics): 攻击者为实现其在特定阶段的目标所采用的高级方法。例如,在“攻击执行”阶段,一个策略可能是“账户接管”。 -
• 技术 (Techniques): 攻击者为执行特定策略所使用的具体技术。例如,在“账户接管”策略下,技术可能包括“凭证破解”、“凭证填充”、“入侵SSO”。 -
• 杀伤链(Kill chains):描述特定业务逻辑攻击的生命周期,包括攻击阶段、阶段间的演进顺序,以及攻击者在每个阶段所采用的策略和技术。 ![业务逻辑攻击定义框架:OWASP BLADE]( "业务逻辑攻击定义框架:OWASP BLADE")
最新动态
2025 年最新版本的 BLADE 引入了多项AI相关的新 TTP,包括旨在窃取内容以训练 AI 模型的爬虫机器人,以应对 AI 滥用场景。
BLADE框架的偏向性
值得注意的是,BLADE 框架(其开发者 Netacea 是一家专注于 Bot 管理的安全公司)在内容上显著侧重于 Bot(自动化程序)攻击。例如,其杀伤链模型将所有攻击都归因于 Bot。企业在应用该框架时,应意识到这一潜在偏向性,结合自身实际威胁现状进行客观评估,避免盲目套用。
下图为Netace Bot Protection的产品结构:
OWASP BLADE vs JDArmy BREAK
在业务安全框架领域,同样专注于业务风险管理的还有来自国内京东蓝军的BREAK框架[2]。JDArmy BREAK(Business Risk Enumeration & Avoidance Knowledge)是一个开放式"业务风险枚举与规避知识"框架,通过对各种业务风险进行分类、介绍与枚举,为使用者提供了一个完整的业务风险全景图,并对业务规避风险、提升能力提供了规避知识。
|
|
|
|
| 理论基础 |
|
|
| 核心方法论 |
|
|
| 攻击/风险区分 |
|
|
| 解决方案思路 |
|
|
| 威胁演进 |
|
|
| 使用门槛 |
|
|
| 地域特色 |
|
|
| 社区生态 |
|
|
小结
OWASP BLADE 框架的出现具有重要意义,填补了传统安全框架在业务逻辑攻击防护领域的空白,并获得了 OWASP 的官方认可。其借鉴成熟的矩阵结构降低了学习门槛,但过度依赖 MITRE ATT&CK 模式可能限制了针对业务逻辑攻击特殊性的创新。此外,该框架从理论到实践的转化仍面临巨大挑战:业务逻辑攻击的高度个性化特征、检测的复杂性以及投资回报率(ROI)评估的困难,都是亟待解决的现实问题。
👉 关注「玄月调查小组」,解剖硬核技术!
引用链接
[1] OWASP BLADE: https://owasp.org/www-project-blade-framework[2] JDArmy BREAK-业务风险枚举与规避知识框架: https://break.jd.army/#/
原文始发于微信公众号(玄月调查小组):业务逻辑攻击定义框架:OWASP BLADE
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论