业务逻辑漏洞常见类型分析与JWT测试示例研究

作     者：胡传甫 王昕葳 周宬 王少青 Hu Chuanfu;Wang Xinwei;Zhou Cheng;Wang Shaoqing

作者机构：嘉兴南洋职业技术学院浙江嘉兴314000 嘉兴市公安局 嘉兴市新闻传媒中心 

基　　金：嘉兴南洋职业技术学院2024年度校级课题“业务逻辑漏洞案例研究”(立项号Qt24001) 

出 版 物：《计算机时代》 (Computer Era)

年 卷 期：2025年第2期

页      码：6-10页

摘      要：业务逻辑漏洞是在程序的设计与开发过程中由于应用自身的业务流程存在逻辑缺陷而产生的一种隐蔽性极强的系统级漏洞。业务逻辑漏洞可按照业务流程的功能模块进行分类,包括登录认证、密码找回、验证码、业务流程、业务接口调用、业务办理等,常用测试工具有Burp Suite,htpwdScan和JSFinder。本文简要分析了JWT安全威胁,以登录认证模块的逻辑漏洞为示例展示了JWT攻击测试过程,并提出了一些防范与修复建议。

主 题 词：逻辑漏洞 漏洞测试 短信炸弹 垂直越权 漏洞修复 

学科分类：0839[0839] 08[工学] 

D　O　I：10.16644/j.cnki.cn33-1094/tp.2025.02.002

馆 藏 号：203157419...