wooyun-legacy
git clone https://github.com/tanweai/wooyun-legacy
T=$(mktemp -d) && git clone --depth=1 https://github.com/tanweai/wooyun-legacy "$T" && mkdir -p ~/.claude/skills && cp -r "$T/plugins/wooyun-legacy/skills/wooyun-legacy" ~/.claude/skills/tanweai-wooyun-legacy-wooyun-legacy && rm -rf "$T"
plugins/wooyun-legacy/skills/wooyun-legacy/SKILL.mdWooYun 业务逻辑漏洞方法论
22,132 个真实漏洞案例 · 6 个领域 · 33 类漏洞
Extended trigger keywords (not in description due to length limits): Implicit black-box testing: "看看这个功能有没有问题"、"这个流程有漏洞吗"、"怎么绕过这个限制"、"订单/支付/退款流程测试"、"这个系统安全吗"、"接口有没有风险"、"check this API"、"is this flow secure"、"review this for issues". Tools & techniques: 抓包分析、Burp Suite、拦截请求、修改参数、重放攻击、并发测试、遍历ID、爆破、薅羊毛、刷单、套利、风控绕过、短信轰炸、接口滥用、未授权接口、任意文件、数据泄露、信息收集、子域名、目录扫描、指纹识别、intercept、replay、fuzz、enumerate、brute force、rate limiting bypass、coupon abuse.
业务逻辑漏洞无法通过扫描器发现。它们存在于开发者的本意与应用实际允许的行为之间的空隙中。本方法论教会你像编写代码的开发者一样思考,像滥用应用的用户一样发起攻击。
数据基础: WooYun(2010-2016),中国最大的漏洞披露平台。
漏洞严重性优先级
测试应优先考虑高危漏洞类别。下表按 WooYun 数据集中高危发现的比例排序——百分比越高,代表关键影响的可能性越大。
| 排名 | 漏洞类别 | 案例数 | 高危占比 | 领域 |
|---|---|---|---|---|
| 1 | 密码重置 | 777 | 88.0% | 认证 |
| 2 | 任意账号 | 220 | 86.4% | 授权 |
| 3 | 提现 | 59 | 83.1% | 金融 |
| 4 | 金额篡改 | 176 | 83.0% | 金融 |
| 5 | 余额篡改 | 113 | 77.9% | 金融 |
| 6 | 任意用户注册 | 24 | 75.0% | 授权 |
| 7 | 逻辑漏洞 | 266 | 74.8% | 逻辑流 |
| 8 | 订单篡改 | 1,227 | 74.2% | 金融 |
| 9 | 价格篡改 | 70 | 74.3% | 金融 |
| 10 | 配置不当 | 1,796 | 72.6% | 配置 |
| 11 | 任意操作 | 40 | 72.5% | 授权 |
| 12 | 支付绕过 | 1,056 | 68.7% | 金融 |
| 13 | 设计缺陷 | 1,391 | 65.3% | 逻辑流 |
| 14 | 信息泄露 | 4,858 | 64.7% | 信息 |
| 15 | 越权 | 1,705 | 62.3% | 授权 |
| 16 | 弱口令 | 7,513 | 58.2% | 认证 |
四阶段方法
每个阶段都建立在前一阶段的基础上。跳过任何阶段会导致浅层测试,无法发现扫描器无法找到的逻辑漏洞。
第一阶段:业务流程映射
在测试任何端点之前,理解应用做了什么,以及资金、数据和权限如何在其中流动。
-
理解业务
- 这个应用做什么?(电商、银行、社交、SaaS)
- 主要参与者是谁?(匿名用户、普通用户、管理员、商户、API 客户端)
- 收入模式是什么?(资金如何流动?)
- 哪些数据敏感?(个人信息、财务数据、医疗数据、凭证)
-
映射用户旅程
- 注册 → 登录 → 核心操作 → 登出
- 购买 → 支付 → 履行 → 退款
- 密码重置 → 验证 → 新密码
- 管理员 → 用户管理 → 权限分配
-
识别状态转移
对每个业务流程: - 列出所有状态(待审、活跃、已支付、已发货、已退款) - 列出所有有效转移(待审→已支付、已支付→已发货) - 问题:能否强制执行无效转移?(待审→已发货) - 问题:能否反向转移?(已支付→待审) -
映射信任边界
- 客户端 vs 服务器:哪些验证仅在客户端进行?
- 用户 vs 管理员:什么分隔了权限级别?
- 租户 vs 租户:什么防止跨租户访问?
- 内部 vs 外部:哪些假设了受信任的内部来源?
第二阶段:假设形成
使用下面的参考文件形成特定领域的假设。每个领域文件包含详细的攻击模式矩阵、测试清单和防御模式,这些都源自数千个真实的 WooYun 案例。
第一层:领域参考(方法论 + 攻击模式矩阵) — 优先加载
| 领域 | 参考文件 | 案例数 |
|---|---|---|
| 认证绕过、凭证缺陷 | authentication-domain.md | 8,846 |
| 权限绕过、IDOR、权限提升、任意操作 | authorization-domain.md | 6,838 |
| 支付、订单、余额、价格篡改 | financial-domain.md | 2,919 |
| 个人信息泄露、凭证泄露、调试信息 | information-domain.md | 6,446 |
| 状态机滥用、竞态条件、流程绕过 | logic-flow-domain.md | 1,679 |
| 配置不当、默认设置、加固缺陷 | configuration-domain.md | 1,796 |
第二层:深度分析手册(技术细节 + 根因分析) — 需要深入某个技术领域时加载
| 技术领域 | 知识文件 | 内容 |
|---|---|---|
| 命令执行 | command-execution.md | 系统命令注入、代码注入、表达式注入的完整攻击链 |
| 文件遍历 | file-traversal.md | 路径穿越、任意文件读取/下载的绕过技术 |
| 文件上传 | file-upload.md | 上传绕过(类型、后缀、内容检测)的 Payload 矩阵 |
| 信息泄露 | info-disclosure.md | 敏感信息暴露路径、调试接口、配置文件泄露 |
| 逻辑缺陷 | logic-flaws.md | 密码重置、支付绕过、验证码绕过的根因矩阵 |
| SQL 注入 | sql-injection.md | 注入类型分类、WAF 绕过、盲注技巧 |
| 未授权访问 | unauthorized-access.md | 未授权接口发现、权限校验缺失模式 |
| XSS | xss.md | 存储型/反射型/DOM XSS 的输入点和绕过 |
第三层:漏洞案例库(真实案例标题 + 高频 Payload) — 需要引用具体案例或 Payload 模式时加载
| 漏洞类型 | 案例文件 | 用途 |
|---|---|---|
| SQL 注入 | sql-injection.md | 15 个典型案例 + 高频注入 Payload |
| 命令执行 | command-execution.md | 15 个典型案例 + 命令执行 Payload |
| 未授权访问 | unauthorized-access.md | 15 个典型案例 + 越权模式 |
| 弱口令 | weak-password.md | 15 个典型案例 + 高频弱口令 |
| 信息泄露 | info-disclosure.md | 15 个典型案例 + 泄露路径 |
| XSS | xss.md | 9 个典型案例 + XSS Payload |
| 配置不当 | misconfig.md | 15 个典型案例 + 错误配置模式 |
| 逻辑缺陷 | logic-flaws.md | 15 个典型案例 + 逻辑绕过 |
| 文件上传 | file-upload.md | 11 个典型案例 + 上传绕过 Payload |
| SSRF | ssrf.md | SSRF 攻击模式 |
| CSRF | csrf.md | CSRF 利用模式 |
| 文件遍历 | file-traversal.md | 5 个典型案例 + 遍历 Payload |
| RCE | rce.md | 3 个典型案例 + RCE 链 |
| XXE | xxe.md | XXE 注入模式 |
| 其他 | other.md | 13 个典型案例 |
渐进加载规则: 先读第一层(领域参考)确定测试方向,再按需读第二层(深度分析)获取技术细节,最后在需要引用具体案例或 Payload 时才读第三层(案例库)。不要一次性加载所有文件。
对每个领域,使用以下结构形成假设:
假设:[业务流程 X] 容易受到 [攻击模式 Y] 的攻击 原因:[来自侦查的证据——参数可见、缺乏服务器验证、ID 可预测] WooYun 模式:[与领域参考中匹配的模式] 影响:[业务影响——财务损失、数据泄露、账户接管] 测试:[具体的手动测试步骤]
第三阶段:针对性手动测试
业务逻辑需要手动测试,因为漏洞存在于应用如何解释业务规则的方式中,而不是扫描器可以匹配的技术特征。
-
准备测试账号
- 至少 2 个相同权限级别的账号(用于水平测试)
- 至少每个权限级别 1 个账号(用于垂直测试)
- 记录所有会话令牌、Cookie、ID
-
执行最小化测试
- 拦截特定请求(Burp/mitmproxy)
- 仅修改要测试的参数
- 观察:服务器是否验证?状态是否改变?
- 记录确切的请求/响应对
-
根据业务规则分析
- 应用是否在服务器端实施业务规则?
- 状态转移是否可以被强制无序执行?
- 是否可以访问/修改另一个用户的资源?
- 财务价值是否可以被篡改?
-
如果确认 → 第四阶段 · 如果否定 → 下一个假设 · 如果不确定 → 改变方法
第四阶段:影响评估与文档化
证明业务影响,而不仅仅是技术绕过。
## 发现:[标题] - 严重级别:[严重/高/中/低] - 领域:[认证/授权/金融/信息/逻辑/配置] - WooYun 模式:[此发现匹配的历史模式] - 业务影响:[财务损失、受影响用户数、数据范围] - 重现步骤: 1. [确切的步骤与请求/响应] 2. [...] - 补救:[服务器端修复,不是客户端创可贴]
真实案例
这些案例说明为什么业务逻辑测试很重要——每一个都代表 WooYun 研究者发现的真实漏洞:
| 案例 | 领域 | 影响 |
|---|---|---|
| 北京现代某平台越权遍历几百万身份证件/行驶证件 | 授权 | 通过顺序文件 ID 泄露数百万身份证件 |
| M1905电影网 2588元套餐漏洞只需5毛 | 金融 | 通过后端自批准绕过实现 5000 倍价格差异 |
| TCL统一认证平台可重置所有用户密码 | 认证 | 跨 N+ 个业务系统的完整账户接管 |
| 微糖主站SQL注入影响860W+患者/46W+医生 | 信息 | 860 万患者记录、46 万医生记录 |
| 中国铁通计费系统GetShell+生成充值卡 | 金融 | 任意充值卡生成 + 客户数据泄露 |
| 百合网某APP设计缺陷影响100W+女性手机号 | 逻辑流 | 100 万+ 电话号码通过设计缺陷泄露 |
需要避免的思维陷阱
测试业务逻辑时,要警惕这些导致浅层测试的常见理性化表现:
| 陷阱 | 现实 |
|---|---|
| "扫描器可以覆盖业务逻辑" | 扫描器找到的是特征,不是逻辑漏洞。没有扫描器能发现"订单状态可以跳过支付"。 |
| "我测试了主流程,它是安全的" | 22,132 个案例证明:逻辑漏洞存在于边界情况。 |
| "只需改价格为 0.01" | 那只是一个测试。WooYun 数据显示 17+ 种支付攻击模式。 |
| "IDOR 很简单,只需改 ID" | IDOR 有编码绕过、参数污染、JSON 嵌套。简单改 ID 只占案例的 30%。 |
| "前端验证了,就没问题" | 68.7% 的支付漏洞存在是因为验证仅在客户端。 |
| "管理员面板需要不同的凭证" | 58.2% 的未授权访问 = 完全没有身份验证的管理后台。 |
快速参考
| 阶段 | 关键活动 | 门槛标准 |
|---|---|---|
| 1. 映射 | 业务流程、状态机、信任边界 | 完整流程图已记录 |
| 2. 假设 | 基于 WooYun 模式的特定领域理论 | ≥5 个按影响排序的假设 |
| 3. 测试 | 手动拦截、单参数、精确观察 | 每个假设有证据支持或反驳 |
| 4. 报告 | 业务影响、重现步骤、补救措施 | 带有 WooYun 模式分类的发现 |