揭秘业务逻辑滥用：API安全中“利用游戏规则”的攻击手法

什么是业务逻辑滥用

业务逻辑滥用发生在攻击者恶意利用系统（此处指API）的预期功能，使其执行非设计初衷的操作。这些操作在技术上本可实现，但由于设计缺陷和疏忽而成为可能。
API中的业务逻辑滥用实例包括：

• 绕过工作流步骤，例如跳过支付页面。
• 数据操纵，例如更改网站上的商品价格。
• 违反业务规则，例如超出优惠券使用限制。
• 利用认证漏洞提升权限。
• 通过利用未正确过期的会话进行会话劫持。

此类例子不胜枚举。

现实世界中的API业务逻辑滥用如何运作

根据Wallarm最新的2025年第二季度API威胁统计报告，业务逻辑滥用是导致上一季度API漏洞增加近10%的主要原因。在过去一年中，针对金融和零售API的攻击显著增加。
正如Wallarm首席执行官Ivan Novikov所指出的：“攻击者不再仅仅扫描过时的库；他们正在利用API的行为方式，尤其是那些驱动人工智能系统和自动化的API。”
那么，在这些行业中，业务逻辑滥用具体是什么样子的呢？以下是几个真实案例。

零售业中的API侧录
今年，研究人员发现针对流行支付处理API Stripe的攻击。Stripe API侧录活动是业务逻辑滥用的一个典型例证，攻击者利用了一个原本用于合法支付验证的已弃用API。他们并非利用编码漏洞，而是滥用了API的预期逻辑来验证被盗的信用卡信息，将正常的业务流程变成了欺诈工具——这突显了合法功能如何被恶意重新利用。

快餐连锁店的API注册滥用
在汉堡王事件中，道德黑客滥用了RBI的“开放注册”API和GraphQL变更操作，进行自我注册、绕过邮箱验证，并将权限提升至管理员。随后，他们访问了免下车取餐音频、内部门店系统和员工数据——将合法的注册和角色管理逻辑变成了深入内部系统入侵的途径。

热门活动的API票务滥用
在美国联邦贸易委员会调查的另一起案件中，票务转售商滥用合法的购买API，超出了许多热门活动（包括泰勒·斯威夫特的The Eras Tour演唱会）的购票限制，并以高得多的价格转售门票，牟利数百万美元。他们使用虚假账户、虚拟信用卡、代理服务器和SIM卡盒绕过了保护措施（例如，每账户/信用卡限制、短信验证）。他们将Ticketmaster旨在维护公平性的业务逻辑控制工具，转变成了大规模收购和转售的工具，从而破坏了本应执行的业务逻辑。

检测面临的挑战

攻击者之所以青睐针对业务应用的攻击，是因为发现它们需要不寻常的知识和专业技能。
Wallarm安全策略师Tim Erlin解释说：“发现漏洞很重要，但在攻击发生时检测到它们同样重要。它们是同一枚硬币的两面，都需要对正常的应用程序逻辑有深刻理解。”正如他对TechNadu所说，检测业务逻辑滥用需要对业务逻辑有深入的理解，而这并非人人具备。
API业务逻辑滥用检测的另一项挑战在于，API作为“内部工具”的身份使其在感觉上似乎更安全。因此，它们在实践中的保护往往更少。Erlin指出，安全团队需要认识到：“内部工具通常可以通过外部或其他外部工具访问。”
这些挑战——缺乏业务逻辑专业知识和错误的安全感——共同导致了业务逻辑滥用攻击在近期范围和成功率上的上升。

使用Wallarm缓解API中的业务逻辑滥用

Wallarm通过专注于传统安全工具常常失效的逻辑层，为API提供高级保护。该平台结合了API发现、规范执行和AI驱动的行为分析，以理解API的设计运行方式，并检测其何时偏离预期。通过持续分析流量模式并强制保持逻辑一致性，Wallarm阻止攻击者利用工作流、状态转换或流程规则中的弱点，这些弱点可能导致欺诈或数据操纵。例如：

• 行为异常检测 – 使用AI识别偏离正常API交互模式的行为，阻止违反预期工作流或参数逻辑的请求。这有助于在欺诈尝试和滥用行为传播到系统之前将其阻止。
• 流程顺序执行 – 确保API调用以正确的顺序发生，防止攻击者绕过中间步骤或触发顺序错乱的操作。这可以防御诸如过早完成交易或跳过认证步骤等逻辑滥用。
• 规范执行 – 根据已批准的OpenAPI模式验证每个请求，确保参数、数据类型和端点符合预期设计。这可以阻止利用隐藏或已弃用功能的尝试。

Wallarm在业务流程与安全交汇处提供保护。其结合了运行时可见性、行为智能和精确规范验证的能力，使安全团队能够检测并阻止那些针对工作流设计而非代码漏洞的隐蔽滥用行为。借助Wallarm，组织可以确保其API按预期运行，保护收入和客户信任，并在基于逻辑的攻击造成损害之前加以预防。
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

公众号二维码