2019年全年中，漏洞盒子安全平台共收到各类网站漏洞12万多个，共收取到的电商行业的安全漏洞4.8万多个，占全年漏洞总数的40%多。其中，存在业务逻辑安全漏洞的网站共有1.3万个，占整个业务逻辑漏洞总数的40%左右。所以从电商行业来看，目前业务逻辑漏洞出现明显上升趋势。约占其四分之一（数据来源漏洞盒子，截止2020年2月）

漏洞类型比例：目前漏洞盒子平台收集到的电商行业漏洞种类较多，包括有SQL注入、XSS、密码重置、验证码绕过、 绕过认证登录等，其中业务逻辑漏洞所占比例最大，如图

业务逻辑漏洞：一种业务逻辑上的设计缺陷，所引发的业务流程安全问题

以小买大：在支付时直接修改数据包中的支付金额，实现小金额购买大金额商品

实现0付款：修改购买数量，使之为负数，可购买负数量商品，从而扣除负积分，即增加积分，或使购买数量无限大，无限大时则程序可能处理出错，从而实现0金额支付

请求重放：在购买成功后重放请求，可实现“一次购买多次收货”。以及绕过第三方校验、支付前随意更改单价等一系列业务逻辑问题

业务数据篡改：服务器仅在通过JS脚本限制，没有对订单进行合理校验，从而对订单中金额、数量、手机号、用户ID、商品编号。其它业务进行篡改，造成严重的经济损失

业务越权查看：用户在没有认证授权的情况下，直接访问需要认证的网页或文本信息，并进行增、删、改、查操作，造成数据丢失、订单信息篡改等，使数据失去机密性和完整性

电商的业务逻辑复杂是程序员相当头疼的事情，往往系统会存在一些意想不到的漏洞，而我们拥有探测这些漏洞的经验优势，尤其是业务+支付等重要环节安全不容忽视。

1、WEB端模块测试：

登录模块：登录认证有效性、用户名密码明文存储、验证码绕过、暴力破解

商户模块：购物车模块权限测试（查看、收藏、删除、修改等越权）、订单CSRF漏测试

结算模块：个人信息权限测试（查看、删除、修改等越权）、SQL注入型测试、跨站挂马测试

支付模块：银行支付网关测试（积分、金钱、订单号等信息）、商品数量、价格、积分数有效性测试

订单模块：恶意评价测试（跨站攻击、刷单评价）、订单越权测试（查看、删除、修改等越权）

2、APP端模块测试

登录模块：SQLite明文存储、逆向分析（反编译、反汇编、动态分析）、APP登陆不安全加密算 法、Actiyity劫持、登陆凭证窃取

传输模块：敏感信息明文传输、弱加密传输、无效SSL证书、中间人劫持、请求与响应完整性检验

支付模块：订单越权查询、订单用户信息泄漏、表单SQL注入、XSS攻击、支付金额篡改、积分逻辑问题 、恶意评价商品、恶意刷单，订单删除和修改、支付请求并发测试、篡改正常支付业务流程、外挂抢红包

1、技术角度限制：

1、VPN－统一流量审计；

2、堡垒机－测试过程行为监控；

3、平台内置工单处理机制－第一时间进行漏洞处理，用待处理、工单中、已修复、已忽略等状态来确定漏洞的真实性。

2、人员管理角度限制：

1、平台白帽子严格等级划分制度；

2、测试团队组建：自有测试团队（30%）＋核心白帽子团队（70%）。提供10～50名测试人员，具体数量可根据企业需求调整。

3、项目管理角度限制：

1、实名登记 ，包括身份证、联系方式、银行卡账号等信息；

2、相应奖罚制度对于违规者有严厉的惩处措施；

3、记录参与项目白帽子信息，包括IP，名称，时间等，以及内置即时聊天工具可以很好的和白帽子沟通。

1、平台能够对测试结果数据进行在线分析，能够根据端口、漏洞名称、IP地址等关键字对测试结果进行查询并能将查询结果保存

2、支持高级数据分析，能够进行历史数据查询、汇总查看、对比分析等

3、测试报告提供在线浏览报告和离线打印报告；离线报表提供针对不同角色的默认模板，允许用户定制报告的内容、报告的格式等

4、离线报告可以输出到HTML、WORD、EXCEL（XML）等文件，报告可以直接下载或通过邮件直接发送给相应管理人员，并且输出报表美观可直接打印

5、报表中综述、漏洞、漏洞级别、漏洞分类、测试人员（提交者）等信息进行分类显示