背景
多年来,OWASP Top 10一直是Web应用安全的“黄金标准”,指引着开发者和安全工程师应对SQL注入、跨站脚本(XSS)等常见技术漏洞。然而,现代应用程序的攻击面远不止于此。攻击者越来越多地将目光投向应用程序的业务逻辑本身——即应用程序如何处理工作流程、数据和用户交互的规则。
OWASP 近日发布了一个全新的风险清单——《OWASP Top 10 for Business Logic Abuse》(OWASP业务逻辑滥用十大风险)。这标志着OWASP的关注点正从传统的代码层面漏洞,向更深层次、更贴近业务核心的设计缺陷进行延伸和聚焦。该清单的发布,为企业识别和防范那些能够绕过常规安全扫描工具的复杂攻击,提供了系统性的指导框架。
OWASP 业务逻辑滥用 Top 10 定位是对现有 OWASP Top 10 项目的补充和增强,它关注跨领域、跨越技术栈的业务逻辑漏洞。
什么是OWASP业务逻辑滥用十大风险?
创新研究方法论
项目与传统的漏洞框架不同,它利用图灵机模型来定义和分类业务逻辑滥用。应用程序被视为具有以下特征的抽象机器:
-
磁带:代表内存或数据存储(例如数据库、内存对象)。 -
头部:表示数据访问机制(例如,API 调用、查询)。 -
状态:代表应用程序工作流程(例如,身份验证、交易批准)。 -
转换:表示在状态之间移动应用程序的逻辑(例如,用户操作、API 响应)。
研究分四步:
-
使用大模型对 2023 年至 2025 年的所有 CVE 进行分类(总共 76k 个 CVE),基于图灵机原语划分 3 大组、63 类漏洞; -
筛选 CVE 数据,删除了与业务逻辑攻击无关且被其他 Top 10 覆盖的集群,用聚类算法形成 12 个高置信度漏洞集群; -
移除了所有覆盖率低于阈值的集群,补充 3 类漏洞,优化为 10 个集群; -
用 GitHub 样本验证,调整集群定义,确保体系在 CVE 语料库外也适用 。
OWASP业务逻辑滥用十大风险清单
项目地址:https://owasp.org/www-project-top-10-for-business-logic-abuse/
|
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
小结
项目将图灵机模型引入业务逻辑漏洞建模,极具开创性。图灵机作为计算理论的基石,其抽象化、形式化的特性为漏洞研究提供了严谨的数学逻辑框架。毕竟图灵机模型是目前为止最为广泛应用的经典计算模型。目前尚无找到其它的计算模型(包括量子计算机在内),可以计算图灵机无法计算的问题。
原文始发于微信公众号(玄月调查小组):OWASP发布业务逻辑滥用十大风险2025
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论