蓝军视角下逻辑漏洞挖掘与治理

黄嘉隆——京东蓝军 安全研究员
1 | 逻辑漏洞的现状和问题

2 | 逻辑漏洞的“解”在哪里？

3 | 通过经验积累，沉淀自动化工具

4 | 逻辑漏洞治理专项的成果

Empower Security
Enrich life
逻辑漏洞现状和问题

Empower Security
Enrich life
通过SRC数据分析：逻辑漏洞成为主流

SRC数据分析

90
某BGBU支出占比
漏洞类型占比
80

70

其他
配置错误 60
5%
5%

50
逻辑漏洞
48%
40 支出占比
常规漏洞
42%
30

20

10

逻辑漏洞 常规漏洞 配置错误 其他 0

2019 2020 2021

Empower Security
Enrich life
通过SRC数据分析：越权和支付漏洞是主流

通过2021年的SRC数据来进行树图统计可以看到大概的逻辑漏洞类型占比
Empower Security
Enrich life
现有安全工具无法发现逻辑漏洞

逻辑漏洞“难在哪里”

2、自动化检出率低，并且误报率高。与

1、安全测试人员严重不足，导致无法在
02 常规漏洞不同，逻辑漏洞更多涉及业务
逻辑，很难全部通过自动化工具发现。
产品的测试阶段就将问题发现并反馈给 01
研发修复。

03

3、业务方系统版本更新迭代频繁，业务
测试专业性不足、安全工具覆盖度有限
的。

Empower Security
Enrich life
逻辑漏洞复杂多变，且与业务场景息息相关

Empower Security

SRC数据基础通过平行集图来展示每个漏洞类型的实际漏洞细节 Enrich life

逻辑漏洞复杂多变，且与业务场景息息相关

Empower Security
Enrich life
 逻辑漏洞的危害！

01 02 03
严重的数据泄漏风险 平台遭受巨大经济损失 公司声誉受损

由于越权或者未授权等问题， 营销活动漏洞、优惠券漏洞、 逻辑漏洞还可能会导致用户的

平台的各种数据甚至包括用户 支付漏洞等，一旦在线上爆发 账号被盗用、敏感信息的泄露
的隐私数据都暴露在风险之中。 就可能招来各种黑灰产的批量 等，从而引发后续的用户被诈
刷单，给公司造成巨大的经济 骗等影响恶劣的事件，最终就
损失。 会导致公司的声誉受到损失、
客户流失等。

Empower Security
Enrich life
逻辑漏洞的解在哪里？

Empower Security
Enrich life
逻辑漏洞的“解”在哪里

2、自动化检出率低，并且误报率高。与

1、安全测试人员严重不足，导致无法在
02 常规漏洞不同，逻辑漏洞更多涉及业务
逻辑，很难全部通过自动化工具发现。
产品的测试阶段就将问题发现并反馈给 01
研发修复。
安全能力集成：从白盒代码、黑盒测试等方面总结逻辑漏
洞的规律，反哺白盒团队。

03 安全测试：对开展试点工作的目标，开展逻辑漏洞专项测
试，并形成测试用例和经验用于培训和反哺复盘；

业务联动：开展针对测试工程师的逻辑漏洞挖掘培训，给
测试工程师的测试业务增加关于逻辑漏洞的测试，将测试
工程变成安全测试工程师；
3、业务方系统版本更新迭代频繁，业务
测试专业性不足、安全工具覆盖度有限
的。

Empower Security
Enrich life
逻辑漏洞专项的战略目标与规划制定

蓝军在逻辑漏洞治理专项战略目标：以攻促防，提高业务自主发现逻辑漏洞能力，赋能安全。

Empower Security
Enrich life
逻辑漏洞治理专项规划实施相关细节

Empower Security
Enrich life
 试点目标的选择

• 1、toC?
• 2、对外的系统？
• 3、JSRC上报漏洞数据最多的BGBU。
• 4、业务方主动寻求试点的。
试点工作实施-调研系统用户角色

1、分析系统的用户角色，每一个系统的用户角色至少是两种的，甚至五六种、七八种。因此明
白系统用户角色结构，知道他们能干什么、能看什么、不能看什么、不能干什么也尤为重要。

Empower Security
Enrich life
试点工作实施-分析系统业务痛点

2、分析系统业务类型，进而分析系统最担心的问题是什么，什么漏洞可以达到触及这个问题，
这一过程必须与业务方进行对接。

Empower Security
Enrich life
试点工作实施-开展业务流程分析

1、系统数据流是怎么样的？

2、系统当前上下游系统是做什么的？

3、核心系统业务功能点主要业务流程是什么？

某一系统支付流程分析

登录账 购买物 生成订

付款
号 品 单

获取其
审批通
他用户
过公司
的账号
付款
密码
企业管理
员
Empower Security
Enrich life
 试点工作实施-开展逻辑漏洞专项安全测试

蓝军团队
开展逻辑漏洞挖掘工作

代码审计 渗透测试 APP逆向

试点WEB站点

调研用户角色
分析业务痛点 提供测试环境
分析业务流程 提供测试账号
提供代码权限

业务团队

产品经理
研发/运维 研发/代码仓库
安全官
Empower Security
Enrich life
 复盘作为推动业务安全能⼒提升的必要⼿段。

复盘四步法：
回想（当初的⽬的或期望的结果是什么）
对照（原来设定的⽬标，看完成的情况如何）
分析（事情成功或失败的关键原因）
经验（包括得失的体会，是否有规律性的东⻄值得思考以
及下⼀步的⾏动计划）

培训是提升业务测试安全测试能力的必要手段。
通过经验积累，沉淀自动化工具

Empower Security
Enrich life
 一般是咋干的-越权漏洞分析

浏览器设置代理， 让两个账号访问同一个资源ID，返回数据一致则等于漏洞可能存在，也就是可以拿账号二的COOKIE
流量转到抓包工具 替换账号一的请求包里的COOKIE访问账号一的资源ID。

等同于

分析数据包，将数据包中的请求资源id替换成他人的，例如订单号等。

将查询到的数据返回

将修改后的数据包重放

将订单号等索引id放到
数据库中进行查询

Empower Security
Enrich life
 一般是咋干的-未授权漏洞分析
浏览器设置代理，
流量转到抓包工具

分析数据包，删除所有鉴权字段

将查询到的数据返回

将修改后的数据包重放

将订单号等索引id放到
数据库中进行查询

Empower Security
Enrich life
逻辑漏洞治理专项过程中遇到的问题：

1、水平越权、垂直越权、未授权漏洞挖掘方法都相似，徒手
挖掘效率低且大量重复性劳作严重。
2、常常错过涉及泄漏敏感信息的接口。
3、纯黑盒测试时，翻看JS源码文件查找敏感接口比较麻烦。
4、需要提供一个趁手的工具或插件提供给业务测试工程师。
工具简单架构设计

Empower Security
Enrich life
越权漏洞挖掘半自动化-实现细节

Empower Security
Enrich life
越权漏洞挖掘半自动化-成品展示

Empower Security
Enrich life
 工具效果与结论

蓝军挖掘效率上升 业务方挖掘漏洞效率提升
每周中高危严重漏洞发现平均数量从个数到 有测试工具辅助测试工程师进行逻辑漏洞挖
十位数，大量漏洞给后续后续复盘和培训提 掘，减轻他们工作压力和提升效率。
供案例，同时提前发现漏洞也利于系统整改。

工具普及率不高 需要探索工具新模式
由于Burpsuite插件是需要Burpsuite专 由于Burpsuite专业版的特别原因，无法普
业版才能够安装使用，因此插件普及率不高。 及，因此需要探索以当前插件实现原理为基
础新的可以普及的应用。

Empower Security
Enrich life
逻辑漏洞治理专项成果

Empower Security
Enrich life
逻辑漏洞治理专项-业务方转变

01 02 03
自主发现逻辑漏洞能力提 业务方关于逻辑漏洞热度 安全编程规范培训
升 上升
业务方测试工程师每周发现高危+严 在技术社区涌现了很多关于逻辑漏 许多业务方也请求开展关于逻辑漏
重的逻辑漏洞实现了从0到1的突破， 洞挖掘与治理的讨论和文章。 洞的安全开发规范培训。
平均每周发现10+。

Empower Security
Enrich life
逻辑漏洞治理专项-业务方转变

01
自主发现逻辑漏洞能力提
升
业务方测试工程师每周发现高危+严
重的逻辑漏洞实现了从0到1的突破，
平均每周发现10+。

Empower Security
Enrich life
逻辑漏洞治理专项-业务方转变

02
业务方关于逻辑漏洞热度
上升
在技术社区涌现了很多关于逻辑漏
洞挖掘与治理的讨论和文章。
逻辑漏洞治理专项-蓝军能力自我的提升

01 02 03
更加了解集团业务流程 丰富了逻辑漏洞挖掘“骚” 提高蓝军的影响力，
思路 利于后续工作。
在开展集团逻辑漏洞治理专项后， 丰富了逻辑漏洞的挖掘思路，在相 经过逻辑漏洞治理专项，许多业务
更加了解了集团业务，为后续相关 关红蓝对抗行动中提供了许多不同 都了解了蓝军是一支“精攻促防，
项目的开展提供了业务知识基础。 的思路。 赋能安全”的队伍。

Empower Security
Enrich life
 精攻促防，赋能安全

蓝军就像太极阴阳⻥⾥⾯的那颗眼睛，业务少不了我，我离不开业务，
相辅相成，成就业务。

Empower Security
Enrich life