業務邏輯漏洞的防御措施

目前對于業務邏輯漏洞沒有很好修復辦法可以通過以下手段進行預防：

• 確保將應用程序各方面的設計信息清楚、詳細地記錄在文檔中，以方便其他人了解設計者做出的每個假設。同時將所有這些假設明確記錄在設計文檔中。

• 要求所有源代碼提供清楚的注釋，并經過代碼審計，要求程序開發人員在編碼過程中要注意不能留有邏輯缺陷，對自己編寫的代碼需要自行檢查。

• 在以安全為中心的應用程序設計審核中，考慮在設計過程中做出的每一個假設，并想象假設被違背的每種情況。尤其應注意任何應用程序用戶可完全控制的假定條件。

• 在以安全為中心的代碼審查中，從各個角度考慮以下兩個因素，一是應用程序如何處理用戶的反常行為和輸入，二是不同代碼組件與應用程序功能之間的相互依賴和互操作可能造成的不利影響。

• 權限控制，越權不是技術問題，而是設計問題，當一個系統的業務復雜度不斷升高時，它的權限系統也要隨之進行升級，和業務高度耦合的而又精簡的權限框架能有效的減少越權漏洞出現。

回答所涉及的環境：聯想天逸510S、Windows 10。