业务逻辑漏洞挖掘实战：从核心攻击面到自动化测试

1. 项目概述：从“挖洞”到“懂业务”的思维跃迁

在安全圈里混久了，SRC（安全应急响应中心）这个词对大家来说都不陌生。它就像一个公开的“擂台”，企业设立奖金，邀请各路安全研究员（我们常说的白帽子）来寻找自家产品中的安全隐患。而“业务逻辑漏洞”，则是这个擂台上含金量最高、也最考验研究者功力的领域之一。它不像SQL注入或XSS那样有现成的扫描器可以批量发现，它深藏在业务流程的每一个环节，考验的是你对业务本身的理解深度和攻击者的思维视角。

我干了十多年安全，从早期的纯技术漏洞挖掘，到后来专注于业务逻辑层面，最大的感触就是：技术是武器，但业务逻辑才是战场。你拿着一把再锋利的刀（比如精通各种漏洞利用技术），如果看不懂战场的地形（业务流）、敌军的布防（权限与状态控制）、后勤的弱点（数据一致性校验），那也打不了胜仗。这篇文章，我想把我这些年实战中遇到的、看到的、以及自己总结的关于业务逻辑漏洞的“道”与“术”系统地梳理一遍。这不是一份冷冰冰的漏洞类型列表，而是一个从业者如何构建挖掘逻辑漏洞思维体系的实战笔记。无论你是刚入门SRC的新手，还是想在这个领域精进的老兵，希望这些从真实对抗中提炼出的经验，能帮你少走弯路，更高效地发现那些真正有价值的安全问题。

2. 业务逻辑漏洞的本质与核心攻击面解析

2.1 什么是真正的业务逻辑漏洞？

很多人会把业务逻辑漏洞简单地理解为“设计缺陷”，这个说法对，但不够本质。我更愿意把它定义为：在预期的业务流程中，由于开发者在实现时对用户行为、数据状态或权限边界做出了错误或片面的假设，导致攻击者可以通过非预期但合法的操作路径，达成恶意目的的一类安全问题。

这里有几个关键词需要拆解：

1. 非预期但合法的操作路径：攻击者并没有利用程序本身的代码缺陷（如缓冲区溢出）或解释器的特性（如SQL注入），他只是在“规则允许的范围内”进行组合、重复、跳过或颠倒操作。系统可能每一步都校验了数据格式，但却没有校验操作的上下文顺序或权限的纵向穿透。
2. 错误或片面的假设：这是漏洞的根源。例如，开发者假设“用户提交订单后一定会跳转到支付页面”，所以只在支付成功回调里扣减库存，却忽略了用户可以直接调用“取消订单”或“删除订单”接口，导致库存被无限占用。又或者，假设“从客户端传来的价格参数只是用于显示”，后端没有进行二次校验，导致“0元购”。
3. 达成恶意目的：这通常直接关联商业利益，如薅羊毛（刷优惠券、刷积分）、欺诈（低价购买、篡改金额）、数据泄露（越权查看他人信息）、资源滥用（无限抽奖、占用服务）。

与传统的OWASP Top 10漏洞相比，业务逻辑漏洞的检测无法依赖WAF或常规的漏洞扫描器。它需要测试者真正“扮演”用户，甚至“扮演”恶意用户，去理解每一个按钮点击、每一次API调用背后的状态变迁图。

2.2 四大核心攻击面模型

根据我多年的实战经验，绝大多数业务逻辑漏洞都可以归结到以下四个核心攻击面模型。理解这些模型，就等于拿到了分析业务的“手术刀”。

2.2.1 状态与顺序绕过业务流通常被设计成一系列有状态、有顺序的步骤。比如：注册->登录->浏览商品->加入购物车->填写地址->提交订单->支付->完成。

• 漏洞点：攻击者尝试跳过必要步骤（如未支付直接确认收货）、重复执行某个步骤（如重复领取新人礼包）、或逆序执行（如先调用“支付成功”回调，再生成订单）。
• 实战案例：在一个电商活动中，领取优惠券需要先完成一个简单的任务（如浏览页面30秒）。流程是：前端计时，完成后按钮亮起，点击后请求/api/get_coupon?task_id=xxx。漏洞在于，后端仅通过task_id判断任务是否存在，并未校验该任务对于当前用户是否已完成。攻击者直接遍历或猜测task_id，即可批量领取优惠券。
• 挖掘思路：画出业务的正常流程图，然后思考：每一步的进入条件是什么？后端真的校验了吗？我能不能直接从第三步的接口开始？每一步产生的“状态标识”（如订单状态、任务完成标记）是在服务端安全存储，还是可以被客户端篡改？

2.2.2 权限与归属校验缺失这是最常见的一类，即“横向越权”和“纵向越权”。系统没有严格校验当前访问的对象或数据是否属于当前用户，或者没有校验用户角色是否有权执行某操作。

• 漏洞点：修改请求中的ID参数（用户ID、订单ID、地址ID、消息ID）访问他人数据；普通用户尝试访问管理员功能接口。
• 实战案例：某社交平台，查看私信接口为/api/message?msg_id=12345。后端通过msg_id查询到私信内容后直接返回，没有检查这条私信的receiver_id或sender_id是否包含当前用户ID。导致通过遍历msg_id可以读取平台上所有用户的私信。
• 挖掘思路：对所有携带ID参数的接口进行测试。问自己两个问题：1. 这个ID对应的数据主体是谁？2. 后端在返回数据前，是否验证了“数据主体”与“当前用户”之间的关系（拥有、属于、可见）？不要相信前端灰掉的按钮或隐藏的菜单，直接抓包分析API。

2.2.3 数据一致性遭破坏业务规则依赖于多个数据项之间的一致性，但后端没有在关键操作中进行原子性校验或事务性锁定。

• 漏洞点：支付金额与订单金额不一致；优惠券适用范围与使用商品不匹配；库存扣减与订单创建不同步。
• 实战案例：某订票系统，用户选择票务并进入支付页面，金额为100元。支付环节，客户端会向支付网关发起请求，金额由客户端参数amount传递。攻击者拦截请求，将amount改为0.01元，支付网关成功扣款0.01元并返回成功凭证。订票系统后端收到支付成功回调，仅验证了支付凭证的有效性，未校验支付金额与订单金额是否一致，最终为用户出票。这就是经典的“金额篡改”漏洞。
• 挖掘思路：重点关注所有涉及价值转移的环节。任何从客户端提交的、关乎最终利益计算的参数（价格、数量、折扣、费率），都必须假设其是不可信的，思考后端是否有与之对应的、来自可信源（如数据库订单表）的数据进行比对。

2.2.4 业务限制被突破业务上为了公平性或防止滥用，会设置一些限制规则，如频率限制、次数限制、总量限制、条件限制等。

• 漏洞点：限制规则可以被绕过。例如，通过更换IP、设备指纹、账号来绕过频率限制；通过并发请求绕过“单次”限制；通过修改请求参数绕过条件限制（如将“首次购买”标志位改为true）。
• 实战案例：一个每日签到领积分活动，规则是“每个用户每天只能签到一次”。后端实现是在用户签到后，在Redis中设置一个键sign:user_id:20240515，过期时间24小时。漏洞在于，这个键的生成依赖于客户端提交的日期。攻击者修改请求，将日期参数改为20240516，系统会认为这是第二天的签到，从而允许重复签到。
• 挖掘思路：明确每一条业务限制规则，并思考其实现机制。限制的维度是什么（用户、IP、设备）？判断的依据存储在哪里（客户端、服务端Session、数据库、缓存）？这个依据是否可被预测、篡改或重置？

3. 实战挖掘流程：从信息收集到漏洞验证

有了理论模型，我们需要一套可重复执行的实战流程。下面这套“组合拳”是我在多次实战中固化下来的，它帮你从海量业务中系统性地找到突破口。

3.1 第一阶段：深度业务 Recon（信息收集）

别急着上手测试，磨刀不误砍柴工。这一阶段的目标是成为“业务专家”。

1. 走通全流程：以真实用户的身份，完整地体验核心业务。注册、登录、浏览、交易、互动、售后……每一步都用Burp Suite或类似的代理工具记录下所有的HTTP/HTTPS请求。不仅记录“成功”的流，更要记录“失败”的流（如输入错误密码、库存不足），错误处理逻辑往往是漏洞高发区。
2. 绘制业务地图：根据抓取的流量，手动绘制一张业务状态图。标注出主要的业务节点（页面/接口）、节点间的转换关系、每个请求的关键参数（尤其是那些标识用户、订单、状态位的参数）。这张图是你后续测试的“作战地图”。
3. 识别敏感功能点：在地图上标记出所有涉及“资产”变动的地方：支付、充值、提现、积分增减、优惠券发放/使用、库存变更、数据导出、权限修改（如提升会员等级）、消息发送（尤其是带链接或附件的）。
4. 分析技术架构：通过响应头、错误信息、接口路径等，初步判断后端使用的技术栈（Java Spring, Python Django, PHP Laravel, Node.js等）。不同的框架有其常见的逻辑漏洞模式。例如，Spring的@PreAuthorize注解若使用不当可能导致权限校验绕过。

注意：这个阶段要尽可能细致。我习惯为每个关键请求和响应都添加注释，说明其业务含义。有时候，一个不起眼的is_first_login参数，可能就是突破次数限制的关键。

3.2 第二阶段：基于模型的针对性测试

拿着“业务地图”，结合第二章的四大模型，开始定向攻击。

3.2.1 测试状态与顺序

• 工具：Burp Suite的Repeater、Intruder模块。
• 方法：
  • 跳过步骤：在完成一个多步流程后，尝试直接访问最后一步的接口，使用之前步骤产生的凭证或ID。
  • 重复提交：对一个只能执行一次的操作（如领取、抽奖），成功一次后，立即重放之前的请求包，观察响应。特别注意检查响应中是否有类似has_received的标志位，尝试修改它。
  • 并发请求：对创建订单、扣减库存等操作，使用Burp Intruder或Turbo Intruder发起高并发请求（如50个线程同时请求），观察是否产生超额发放、超卖等问题。
• 实战心得：重点关注那些返回“成功”但业务结果未达成的请求。例如，重复领取优惠券，可能返回“成功”但优惠券数量不变，这时要检查优惠券列表，可能后端只是没做去重校验，导致数据库里插入了多条无效记录，影响后续业务逻辑。

3.2.2 测试权限与归属

• 工具：Burp Suite的Repeater， 自定义Python脚本用于ID遍历。
• 方法：
  • 横向越权：登录用户A，找到操作自身资源的请求（如GET /api/order/1001）。将资源ID（1001）修改为推测存在的其他ID（1002, 1003...），查看是否能访问到用户B的数据。对于数字ID，可以系统性地遍历一个范围。
  • 纵向越权：登录普通用户，寻找管理员功能相关的接口。这些接口可能在前端被隐藏，但可能在JS文件、API文档或早期请求的响应中被泄露。直接构造请求访问这些接口。
  • 参数污染：尝试在请求中添加或修改可能用于权限校验的参数，如user_id、admin=true、role=super。
• 实战心得：不要只测试“查看”类越权（GET请求），“操作”类越权（POST/PUT/DELETE）危害更大。例如，能否修改他人的收货地址？能否为他人账户注销？ID的命名规律很重要，除了自增数字，也可能是UUID、时间戳哈希等，观察规律有助于提高遍历效率。

3.2.3 测试数据一致性

• 工具：Burp Suite的Repeater。
• 方法：
  • 关键参数篡改：在支付、价格计算、优惠叠加等环节，拦截请求，尝试修改amount、price、discount、quantity、coupon_id等参数。尝试改为负数、0、极大值、小数。
  • 条件竞争测试：这是破坏数据一致性的高级手段。典型场景是“限量秒杀”：库存只有1件，但成百上千的请求同时到来。使用工具模拟高并发请求，观察最终是否只卖出了一件，还是发生了超卖。
• 实战心得：“金额篡改”漏洞在移动端App中尤其常见，因为很多App的支付流程会跳转到第三方支付平台（微信、支付宝），支付成功后由第三方回调通知App服务器。务必测试这个回调接口：能否被重放？回调中的金额、订单号是否被校验？我曾通过重放支付成功回调，实现了“零元购”。

3.2.4 测试业务限制

• 工具：Burp Suite的Intruder， 配合插件（如Bypass WAF）、手机农场（改设备信息）、代理池（换IP）。
• 方法：
  • 识别限制标识：寻找请求中可能用于标识唯一性的参数，如user_token、device_id、session_id、timestamp。尝试删除、修改或伪造它们。
  • 绕过频率限制：如果限制是基于IP的，使用代理池或修改X-Forwarded-For等头部。如果基于设备，尝试修改请求头中的User-Agent，或清除客户端缓存（对于Web）来重置设备指纹。
  • 绕过次数限制：寻找重置限制的入口。例如，一个活动要求“分享给3个新用户”，那么“新用户”的判断标准是什么？注册时间？设备？IP？能否通过清理浏览器数据、切换账号来模拟新用户？
• 实战心得：限制规则的绕过往往需要结合多个点。例如，一个投票活动限制“每个微信用户每日一票”。它可能同时校验微信OpenID（用户维度）、IP地址（网络维度）和投票时间（时间维度）。你需要逐一分析这些维度是否都可被绕过：OpenID是否可能通过不同公众号获取关联？IP是否可用代理？服务器时间是否可通过篡改请求中的时间戳来欺骗？

3.3 第三阶段：漏洞验证与影响评估

发现异常行为后，不要急于报告，需要严谨验证，并评估其真实影响。

1. 可复现性：在干净的环境下（如新注册的账号、新的浏览器会话），按照你的攻击步骤，是否能稳定复现漏洞？
2. 危害证明：漏洞的危害不能停留在“可能”上。如果是越权，就截图证明能看到他人敏感信息；如果是刷积分，就截图证明积分余额异常增加；如果是支付漏洞，最好能完成一次真实的、低价值的攻击演示（例如，用1分钱购买一个低价商品）。注意：绝对不要进行未经授权的高价值攻击测试，这是法律和道德的红线。
3. 影响范围：这个漏洞是影响单个用户，还是所有用户？是影响一个功能模块，还是整个业务线？尝试判断漏洞的通用性。例如，你通过修改order_id越权查看了订单，那么类似的address_id、coupon_id接口是否也存在同样问题？这很可能是一个通用的权限校验框架缺陷。
4. 根因分析：推测漏洞产生的根本原因。是后端完全忘了校验？是校验逻辑放在了错误的位置（如只在前端）？是依赖了不可信的数据源？在提交报告时，清晰的根因分析能帮助开发人员快速定位和修复。

4. 经典业务逻辑漏洞案例深度剖析

理论结合案例才能融会贯通。下面我剖析几个极具代表性的实战案例，它们分别对应了不同的攻击模型，但都体现了“理解业务”的重要性。

4.1 案例一：优惠券叠加与无限领取逻辑缺陷

• 业务场景：一个电商平台举办促销，发放多种优惠券：满100减10的品类券（A），新用户注册即送的10元无门槛券（B），以及通过分享活动获得的8折券（C）。规则设计上，A和B可以叠加，C不能与任何券叠加。
• 漏洞现象：攻击者发现，在提交订单时，通过特定操作顺序，可以使A、B、C三种优惠券同时生效，实现极低折扣甚至零元购。
• 漏洞原理：
  1. 后端校验逻辑存在顺序和状态漏洞。其校验流程可能是：先检查优惠券C是否可用（因其折扣力度大），若可用，则直接应用并标记“已使用折扣”，后续不再校验其他券。
  2. 攻击者利用客户端请求的灵活性，在同一个订单创建请求中，同时提交了A、B、C三种优惠券的ID，或者通过并发请求，在极短时间内先后提交了应用不同优惠券的请求。
  3. 由于后端处理请求时，在应用C券后，没有对订单的“优惠状态”进行原子性锁定或最终一致性检查，导致在同一个订单生命周期内，A和B券的校验也得以通过。
• 更深层原因：优惠券系统的设计没有采用“预计算+最终确认”的原子事务。正确的做法应该是：将所有选中的优惠券和商品信息传入一个独立的“价格计算引擎”，引擎基于全局规则（互斥、叠加、优先级）计算出一个最终优惠方案，这个计算过程是原子性的，计算完成后订单金额才被确定，期间不允许再修改优惠券组合。
• 挖掘技巧：对于任何涉及多重规则、条件叠加的场景（优惠券、运费、税费、会员折扣），都要测试其边界和组合情况。使用Burp Suite的Cluster bomb攻击模式，同时遍历多种优惠券ID，观察最终价格计算是否出现异常。

4.2 案例二：基于时间状态的条件竞争漏洞

• 业务场景：一个在线教育平台，课程试听功能。用户点击“免费试听”后，可以观看课程前5分钟的内容。5分钟结束后，系统应自动停止播放并提示购买。
• 漏洞现象：攻击者可以无限制观看完整课程。
• 漏洞原理：
  1. 后端实现逻辑是：用户点击试听时，在用户数据中记录一个试听开始时间戳start_time，并设置一个状态为trial。
  2. 播放器客户端每隔30秒会向服务器发送一个心跳请求/api/play/heartbeat，报告当前播放位置current_position。
  3. 后端收到心跳后，会计算current_position - start_time，如果大于5分钟，就将用户状态更新为expired，并返回错误，前端停止播放。
  4. 漏洞在于，start_time这个关键数据存储在数据库中，而“计算时长”和“更新状态”这两个操作不是原子性的。
  5. 攻击者使用脚本，在接近5分钟时（比如4分50秒），高并发地发送大量心跳请求。这些请求几乎同时到达服务器，每个请求在读取start_time时，值都是相同的（比如4分50秒）。它们计算出的时长都小于5分钟，因此都通过了校验。尽管其中一个请求最终会将状态更新为expired，但在这之前，其他大量请求已经“骗过”了系统，获得了继续播放的许可。通过持续发送并发心跳，可以一直维持“未过期”的状态。
• 更深层原因：对共享资源（用户试听状态）的读写没有加锁，在高并发下产生了“脏读”。同时，业务逻辑过度依赖客户端上报的时间（current_position），而这个时间是可以被篡改的。
• 挖掘技巧：对于任何涉及“计时”、“限量”、“抢购”的业务，条件竞争（Race Condition）都是一个必须测试的点。使用Turbo Intruder等工具模拟高并发场景。思考：业务的关键判断依赖于哪个共享变量？这个变量的“读-判断-写”过程是否可能被其他请求打断？

4.3 案例三：业务流程闭环缺失导致的库存死锁

• 业务场景：一个票务系统，用户选座下单后，有15分钟支付时间。为保证体验，用户点击“选座”时，座位就会被临时锁定（标记为“占用”），防止他人重复选择。
• 漏洞现象：热门场次的座位在开售后很快显示全部“占用”，但实际成交订单很少，大量座位被虚假占用无法释放，真正想买的用户无法下单。
• 漏洞原理：
  1. 正常流程：用户选座 -> 座位状态由“空闲”变为“占用” -> 用户支付 -> 支付成功 -> 座位状态变为“已售”。如果15分钟内未支付，系统定时任务会将状态回滚为“空闲”。
  2. 漏洞利用：攻击者使用脚本，模拟正常用户选座请求，占用大量座位。
  3. 关键点在于，攻击脚本在占用座位后，并不走后续的创建订单流程，而是直接关闭浏览器或断开连接。系统设计的“15分钟释放”定时任务，其触发条件是“存在未支付的订单”。但由于攻击者根本没有创建订单，所以这些被占用的座位没有对应的订单记录，定时任务无法处理它们。
  4. 这些座位因此进入了“死锁”状态：状态是“占用”，但没有关联订单，永远不会被系统自动释放，除非人工干预。
• 更深层原因：业务流程设计存在闭环缺陷。“占用”状态必须与一个具有超时机制的“中间态订单”强绑定。占用座位的同时，就必须在数据库创建一条具有过期时间的“预订单”记录。释放资源的定时任务，应该基于“预订单”的过期时间来判断，而不是基于支付超时。
• 挖掘技巧：测试业务流程的“异常出口”。用户可能在任何环节放弃操作：点击按钮后关闭页面、支付中途关闭支付窗口、收到错误后直接返回。思考系统是否为这些异常分支设计了资源回收机制？尝试模拟这些异常行为，观察系统资源（库存、锁定的优惠券、临时文件）是否被正确释放。

5. 高阶技巧与自动化辅助

当手工测试覆盖了主要场景后，可以借助一些高阶技巧和自动化手段来提升效率和发现深层次问题。

5.1 参数变异与模糊测试（Fuzzing）

不仅仅是修改ID，要对所有参数进行系统性的变异测试。

• 数字型参数：尝试边界值（0, 1, -1, 极大值）、小数、科学计数法。
• 字符串型参数：尝试超长字符串、空字符串、特殊字符、SQL/NoSQL注入Payload、路径遍历Payload。
• 枚举型参数：尝试超出范围的枚举值、其他业务模块的枚举值。
• 布尔型参数：尝试true/false,1/0,yes/no,on/off等多种表示形式。
• 数组/JSON型参数：尝试修改数组顺序、增减数组元素、在JSON中增加额外字段、嵌套层级。
• 工具：Burp Suite的 Intruder 配合自定义字典，或使用ffuf、wfuzz等命令行工具。可以针对性地生成测试用例，例如，针对价格参数，生成一组包含负数、零、小数的测试集。

5.2 接口关联与依赖分析

现代应用前后端分离，业务逻辑分散在数十甚至上百个API中。漏洞可能出现在多个接口的关联操作上。

• 方法：使用工具（如Burp的Target站点地图，或自定义脚本）对所有抓取的接口进行分析，建立接口之间的数据关联图。例如，接口A的响应中包含了token_x，而接口B的请求需要token_x。那么，用接口B去请求接口A返回的token_x，是否就构成了一个完整的越权链条？
• 实战场景：用户个人资料更新接口（POST /api/profile/update）需要验证密码。但忘记密码后的重置接口（POST /api/password/reset）只需要邮箱和验证码。如果重置密码后，系统自动登录并返回了一个新的会话（Session），攻击者是否可以利用这个新会话，直接访问/api/profile/update来修改其他信息（如绑定手机）而无需旧密码？这就是接口状态依赖上的逻辑问题。

5.3 客户端逻辑逆向

很多业务逻辑漏洞源于开发者错误地信任了客户端。

• Web端：仔细审查JavaScript代码。搜索关键词如isAdmin,price,validate,check,verify。前端的校验（如金额计算、权限判断）都只能作为用户体验优化，绝不能作为安全依据。任何在前端做的限制，都要尝试通过直接构造请求包来绕过。
• 移动端App：对Android APK或iOS IPA进行反编译（使用工具如Jadx、Ghidra、IDA Pro）。关注网络请求的构建过程、加密解密算法、签名逻辑。经常发现，为了“方便”，一些关键参数（如商品价格total_fee）的加密密钥被硬编码在客户端，或者签名算法存在缺陷，导致请求可以被篡改后重新签名。
• 小程序：微信小程序等平台的应用，其代码包相对容易获取和分析。同样要关注其网络层逻辑。

5.4 搭建半自动化测试流程

完全依赖手工效率太低。可以基于Burp Suite的扩展或Python脚本，搭建半自动化的测试流水线。

1. 流量录制：使用Burp Suite录制完整的业务操作流，并导出为Har文件或Burp State文件。
2. 流量解析与模板化：编写脚本解析流量，将HTTP请求抽象成可参数化的“模板”。识别出其中的动态参数（如user_id,order_id,timestamp,token）。
3. 测试用例注入：针对不同的漏洞模型，编写测试用例。例如，对于越权测试，生成一组目标user_id列表；对于状态绕过，生成不同的操作序列组合。
4. 执行与结果判断：脚本自动替换模板中的参数，发送请求，并根据响应内容（状态码、响应体关键词、响应时间）自动判断是否存在异常。例如，响应中包含他人的邮箱信息，则标记为“疑似越权”。
5. 人工复核：自动化脚本标记出的“异常点”，需要安全研究员进行最终的人工分析和验证，排除误报。

这个流程可以将研究员从重复的请求修改和发送中解放出来，专注于更复杂的逻辑分析和漏洞利用链构造。

6. 报告撰写与沟通艺术

挖到漏洞只是成功了一半，一份清晰、专业、令人信服的报告是获得认可和奖励的关键。

6.1 报告的核心要素

一份优秀的SRC漏洞报告应包含以下部分：

1. 漏洞标题：精炼，一眼看懂问题本质。例如：“[XX商城] 支付环节金额篡改导致任意商品0.01元购买”，而不是简单的“发现一个漏洞”。
2. 漏洞等级：根据平台标准客观评估。通常结合CVSS评分，考虑漏洞利用的难易度、是否需要前置条件、影响的业务重要性和数据敏感性。
3. 漏洞详情：
   • 受影响URL/功能：明确指出存在问题的具体接口地址或功能页面。
   • 重现步骤：分步骤、详细地描述如何从零开始复现漏洞。就像写菜谱一样，让完全不了解的人也能跟着做出来。包括：1. 注册账号；2. 登录；3. 进入某个页面；4. 进行某项操作；5. 使用Burp Suite拦截请求；6. 修改XX参数为YY；7. 发送请求；8. 观察结果。每一步最好附带截图。
   • 请求与响应：提供关键的、未经篡改的原始请求包和响应包（可脱敏敏感信息）。这是最重要的证据。
   • 漏洞原理：简要分析漏洞产生的原因，是权限校验缺失？是状态机混乱？还是依赖了不可信输入？这能体现你的专业深度。
4. 漏洞证明：展示漏洞成功利用后的结果。越权漏洞就展示他人的数据；支付漏洞就展示低价订单成功的截图；注意给敏感信息打码。
5. 修复建议：提供切实可行的修复方案。不要只说“加强校验”，要具体。例如：“建议在/api/order/pay/callback接口中，增加对actual_amount（回调金额）与数据库orders表中total_amount（订单金额）的比对逻辑，不一致则拒绝处理并告警。”
6. 其他信息：测试账号、密码、测试时间、浏览器版本等。

6.2 沟通中的注意事项

• 态度专业友好：记住你是来帮助厂商提升安全的，不是来挑衅的。报告用语礼貌、客观。
• 证据确凿充分：确保你的复现步骤100%准确，截图清晰。模糊的报告会浪费双方时间。
• 遵循平台规则：严格遵守SRC平台的漏洞提交规范、测试范围（哪些系统能测，哪些不能）和测试方法（禁止DoS、禁止盗取真实数据等）。
• 跟进与反馈：提交报告后，可以适时跟进状态。对于厂商的疑问，耐心解答。如果厂商修复后请你验证，请及时验证并反馈结果。良好的互动有助于建立个人信誉。

业务逻辑漏洞的挖掘是一场与业务设计者思维模式的博弈。它没有银弹，最大的工具是你的大脑和耐心。持续培养自己对业务的好奇心，习惯性地问“如果我不按常理出牌，会怎样？”，你就能在看似固若金汤的系统里，发现那些别有洞天的路径。这条路没有终点，每一个新业务、新场景都是一次新的挑战，而这，也正是它最吸引人的地方。