image

Access unlimited bootcamps and 650+ courses forever

60
%OFF
Content list
Article image
Victor Chrisosthemos
Victor Chrisosthemos20/06/2025 18:56
Share
WEX - End to End EngineeringRecommended for youWEX - End to End Engineering

Vulnerabilidade de Lógica de Negócios

  • #Segurança, Autenticação, Autorização
  • #Automação
  • #Python
  • #Segurança da Informação

Sobre falhas de segurança de sistemas e o BBB 2024.

Durante a campanha para decidir se Davi Brito continuaria no reality show Big Brother Brasil 2024, houve supostas alegações sobre o uso de automação de votos para inflar sua popularidade e ajudar ele a ganhar (não há comprovação oficial). Contudo, esse contexto permite associarmos o fato a uma vulnerabilidade chamada ‘Logical Flaw’ ou também chamada de ‘Business Logic Vulnerability’, essa falha pode permitir a exploração do próprio sistema para gerar comportamentos inadequados como a geração falsa de popularidade.

A OWASP, uma organização voltada à segurança de aplicações web reconhece essa vulnerabilidade não como uma fraqueza do sistema em questão, mas utilizar a própria dinâmica do sistema para fins negativos. Existem casos pelo mundo todo envolvendo esse problema, Facebook e Youtube são uns deles, tem até histórias de pessoas que conseguiram gerar compras por preços baixíssimos, como consta em um artigo de Diego de O Santos no site Medium a qual descreve como ele conseguiu comprar um tênis de 900 por 1,5 dólares. Diante disso, entende-se a gravidade do assunto e o alerta precisa ser constante, não é tão difícil de encontrar essa vulnerabilidade. Duvida? Então aqui vai um exemplo prático!

Em um site que não vou relevar sua identidade, descobri que se você postar um artigo e, o simples fato de acessar a página novamente pelo mesmo usuário pode gerar uma visualização, podendo gerar em uma grande quantidade uma falsa popularidade devido às visualizações. Para provar o meu ponto, desenvolvi um algoritmo que gera visualizações automáticas com a simples abertura de abas no navegador. Dessa forma, consegui em poucos minutos passar de 159 para 219 visualizações (código e imagens do feito em anexo abaixo).

Em suma, diante do problema exposto, é preciso cautela das organizações para evitar esse problema, além de, na minha opinião, exigir a constante troca de ideias sobre esses assuntos a fim de atualizar as pessoas e preparar para reagir a cenários atuais onde todo dia surge novas mudanças que exigem nossa atenção para nos mantermos informados e seguros.

image

image

image

Fontes que utilizei para criar esse artigo:

https://owasp.org/www-community/vulnerabilities/Business_logic_vulnerability

https://im-rootkid.medium.com/mastering-the-art-of-logic-flaws-unraveling-cyber-mysteries-for-beginners-537c5e57f0e5

https://medium.com/@Diegoeducacao404.../vulnerabilidade-de-lógica-de-negócios-como-consegui-comprar-um-tênis-de-900-00-por-1-50-f81811e11ba6

Share
Recommended for you
Suzano - Python Developer
BairesDev - Machine Learning Practitioner
Santander - Cibersegurança #2
Comments (0)
Read below
Sergio Santos
Como a Inteligência Artificial está Redefinindo o Paradigma da Cibersegurança Corporativa.Sergio Santos - 06 de Junho
#Segurança, Autenticação, Autorização#Inteligência Artificial (IA)#Segurança da Informação
Hernane Bini
O Futuro Chegou: IA, Cibersegurança e Computação Quântica Convergem para Moldar Nosso Amanhã.Hernane Bini - 06 de Junho
#Segurança, Autenticação, Autorização#IA Generativa#Segurança da Informação
Vinícius Araújo
O Terror dos Hackers: Blinde Todas as Suas Contas Contra AtaquesVinícius Araújo - 19 de Maio
#Segurança, Autenticação, Autorização
Recommended for youWEX - End to End Engineering