随着网络安全意识月的持续进行，我们想更深入地探讨影响API的攻击方法。我们已经回顾了破碎对象级别认证（BOLA）、注入攻击和认证缺陷；本周，我们将探讨业务逻辑滥用（BLA）。

与技术缺陷不同，业务逻辑缺陷利用的是API的设计行为方式。它们难以被发现，因为没有安全控制监控"已批准"的行为，因此必须以更具创造性的方式捕获。

这意味着没有异常检测的安全团队面临艰巨任务。

我们将讨论以下内容：

• 什么是业务逻辑滥用
• API业务逻辑滥用在现实世界中如何运作
• 检测面临的挑战
• 使用Wallarm缓解API中的业务逻辑滥用

什么是业务逻辑滥用

业务逻辑滥用发生在攻击者滥用系统（此处指API）的预期功能，使其执行非设计功能时。这些是技术上可以执行的操作，但由于设计缺陷和疏忽而成为可能。

API中BLA的实例包括：

• 绕过工作流程步骤，如跳过支付页面
• 数据操纵，如更改网站上的商品价格
• 违反业务规则，如超出优惠券限制
• 利用认证差距提升权限
• 通过利用未正确过期的会话进行会话劫持

此类例子不胜枚举。

API业务逻辑滥用在现实世界中如何运作

根据最新的Wallarm 2025年第二季度API威胁统计报告，BLA是导致上一季度API漏洞增加近10%的主要原因。在过去一年中，金融和零售API中的攻击显著增加。

正如Wallarm首席执行官Ivan Novikov所指出的：“攻击者不再只是扫描过时的库；他们正在利用API的行为方式，特别是那些支持AI系统和自动化的API。”

那么，在这些行业中，业务逻辑滥用是什么样子的？以下是几个真实世界的例子。

零售业中的API略读

今年，研究人员发现了对流行支付处理API Stripe的攻击。Stripe API略读活动是业务逻辑滥用的一个很好的例证，攻击者利用了一个已弃用的API，该API原本用于合法的支付验证。他们不是利用编码缺陷，而是滥用API的预期逻辑来验证被盗卡片详情，将正常的业务流程变成了欺诈工具——突显了有效功能如何被恶意重新利用。

快餐链中的API注册滥用

在汉堡王事件中，道德黑客滥用RBI的"开放注册"API和GraphQL变异来自行注册，绕过电子邮件验证，并将权限提升为管理员。然后他们访问了得来速音频、内部商店系统和员工数据——将合法的注册和角色管理逻辑变成了深度内部入侵的载体。

热门活动的API票务滥用

在FTC调查的另一起案件中，转售商滥用合法的购买API来超过许多热门活动（包括Taylor Swift的Eras Tour）的购票限制，并以显著更高的价格转售门票，产生了数百万的收入。他们使用虚假账户、虚拟卡片、代理和SIM盒子绕过了保护措施（例如，每个账户/信用卡限制、短信验证）。他们将Ticketmaster的预期控制变成了大规模收购和转售的工具，颠覆了旨在强制执行公平性的业务逻辑。

检测面临的挑战

攻击者倾向于进行业务应用程序攻击，因为捕获它们需要不寻常的知识和专业知识。

Wallarm安全策略师Tim Erlin解释说：“发现漏洞很重要，但在攻击发生时检测它们也很重要。它们是同一枚硬币的两面，都需要对正常应用程序逻辑的理解。“正如他告诉TechNadu的那样，检测BLA需要对业务逻辑有深入的理解，而这并不是每个人都具备的。

API BLA检测的另一个挑战是，API作为"内部工具"的地位使它们自动显得更安全。因此，在实践中它们的保护较少。Erlin说，安全团队需要认识到的是，“内部工具通常可以通过外部或其他外部工具访问。”

这些挑战——缺乏业务逻辑专业知识和错误的安全感——导致了BLA最近在范围和成功上的上升。

使用Wallarm缓解API中的业务逻辑滥用

Wallarm通过关注传统安全工具经常失败