近年国内多次开展系统安全防护，从攻击者的角度帮助防守方发现系统中存在的漏洞，其中多以服务器、中间件、第三方组件等通用漏洞和SQL注入、XSS等常规漏洞为主。随着通用漏洞和常规漏洞被整改修复和系统得到安全设备的防护，此类漏洞在系统安全防护中明显减少；而业务逻辑漏洞具有攻击特征少和不可预见性的特点，很难通过传统安全设备发现，业务逻辑漏洞必将成为攻击者的主要突破口。文章针对业务逻辑漏洞的产生原因，总结了一套业务逻辑漏洞的检测流程，以电商平台的业务场景进行实例分析，演示业务逻辑漏洞的危害，最后，介绍了一些有针对性的防御策略。

• 单位
  浙江广播电视集团