Differences

This shows you the differences between two versions of the page.

--- business_logic [2025/04/22 16:59] – ppale
+++ business_logic [2025/12/01 11:40] (current) – external edit 127.0.0.1
@@ Line 8: / Line 8: @@
 Također za iskorištavanje ovakvih ranjivosti, često nisu potrebni nikakvi alati niti složene tehnike napada, nego se mogu jednostavno izvršiti kroz sama sučelja aplikacije.
-===PRIMJER -Zadatak s Hacknite platforme – Voće, povrće i flagovi===
+===PRIMJER - Zadatak s Hacknite platforme – Voće, povrće i flagovi===
 <file>
@@ Line 15: / Line 15: @@
 </file>
-Vidi se da je zadatak web trgovina i da je cilj kupiti „Flag“ koji je ponuđen kao artikl u web trgovini. Također, dostupan je izvorni kod zadatka. Pri daljnjem pregledu stranice, vidi se da je ponuđen odabir za količinu artikla u rasponu od 1 do 5. Prikazano na slici 1.
+Vidi se da je zadatak web trgovina i da je cilj kupiti „Flag“ koji je ponuđen kao artikl u web trgovini. Također, dostupan je izvorni kod zadatka. Pri daljnjem pregledu stranice, vidi se da je ponuđen odabir za količinu artikala u rasponu od 1 do 5. Prikazano na slici 1.
 {{logicalhighlevel:slika1.png}}
-Dodavanjem jabuka u košaricu i pokušajem kupnje, pojavljuje se pogreška „ Nedovoljno sredstava na računu „ prikazana na slici 2.
+Dodavanjem jabuka u košaricu i pokušajem kupnje, pojavljuje se pogreška „Nedovoljno sredstava na računu„ prikazana na slici 2.
 {{logicalhighlevel:slika2.png}}
-Pregledom HTML koda za ovaj segment stranice, korištenjem ugrađenih alata za razvoj u web pregledniku (F12) ili drugim načinom, vidi se da je vrijednost koja se odabire definirana  kao „quantity“ a ponuđeni dropdown izbornik su samo vrijednosti od jedan do 5. Prikazano na slici 3.
+Pregledom HTML koda za ovaj segment stranice, korištenjem ugrađenih alata za razvoj u web pregledniku (F12) ili drugim načinom, vidi se da je vrijednost koja se odabire definirana  kao „quantity“, a ponuđene vijednosti u dropdown izborniku su samo od 1 do 5. Prikazano na slici 3.
 {{logicalhighlevel:slika3.png}}
@@ Line 31: / Line 31: @@
 {{logicalhighlevel:slika4.png}}
-Slanjem ovog zahtjeva i pregledom košarice, može se vidjeti da jest ovaj zahtjev obrađen bez izazivanja greške i da je sad ukupna cijena proizvoda u košarici negativna. Prikazano na slici 5.
+Slanjem ovog zahtjeva i pregledom košarice, može se vidjeti da je ovaj zahtjev obrađen bez izazivanja greške i da je sad ukupna cijena proizvoda u košarici negativna. Prikazano na slici 5.
 {{logicalhighlevel:slika5.png}}
@@ Line 39: / Line 39: @@
 {{logicalhighlevel:slika6.png}}
-U gornjem lijevom kutu  se vidi da je stanje na računu 0 €. Uzevši u obzir da ukupna cijena svih proizvoda ne smije biti manje od nule i da vjerojatno mora biti manja ili jednaka stanju na računu, može se deducirati da se vjerojatno može izvršiti kupnja, ukoliko je ukupna cijena svih proizvoda u košarici jednaka nuli. Kako bi se uspješno kupio flag, treba se odabrati jedan ili više flag artikl i odgovarajuća kombinacija negativnih količina ostalih proizvoda, kako bi ukupna cijena bila nula.
+U gornjem lijevom kutu  se vidi da je stanje na računu 0 €. Uzevši u obzir da ukupna cijena svih proizvoda ne smije biti manje od nule i da vjerojatno mora biti manja ili jednaka stanju na računu, može se deducirati da se vjerojatno može izvršiti kupnja, ukoliko je ukupna cijena svih proizvoda u košarici jednaka nuli. Kako bi se uspješno kupio flag, treba se odabrati jedan ili više flag artikala i odgovarajuća kombinacija negativnih količina ostalih proizvoda, kako bi ukupna cijena bila nula.
-Ovaj problem ima više od jednog rješenja, te se može jednostavno riješiti uz malo matematike, isprobavanjem par linearnih jednadžbi, ili isprobavajući različite kombinacije približavajući se rješenju dok se ne uspije složit odgovarajuća kombinacija.
+Ovaj problem ima više od jednog rješenja, te se može jednostavno riješiti uz malo matematike, isprobavanjem par linearnih jednadžbi, ili isprobavajući različite kombinacije približavajući se rješenju dok se ne uspije složiti odgovarajuća kombinacija.
-Jedno od kombinacija koja ima ukupnu cijenu nula i sadrži flag je sljedeće:
+Jedna od kombinacija koja ima ukupnu cijenu nula i sadrži flag je sljedeće:
 <code>
 Flag  - (1*trešnje + 9*šljive + 1* banane + 40* jabuke + 5* bonsai)
@@ Line 55: / Line 55: @@
 ===Prevencija business logic ranjivosti===
-Business logic ranjivosti uvelike ovise o samom kontekstu aplikacije, zato je potrebno dobro razumijevanje logike sustava, njegovih funkcionalnosti i namjena pri razvoju i implementaciji sustava, pogotovo kada više ljudi zajedno rade na razvoju. Kada jedna osoba radi na jednoj komponenti sustava koja je povezana s drugom komponentom, koju razvijaju drugi programeri , mora dobro razumjeti obje komponente i njihovu namjenu te predviđene funkcionalnosti. Zato je važno i imati dobru dokumentaciju uz razvijanje sustava, u kojoj su opisane namijene i funkcionalnosti pojedinih komponenti.
+Business logic ranjivosti uvelike ovise o samom kontekstu aplikacije, zato je potrebno dobro razumijevanje logike sustava, njegovih funkcionalnosti i namjena pri razvoju i implementaciji sustava, pogotovo kada više ljudi zajedno rade na razvoju. Kada jedna osoba radi na jednoj komponenti sustava koja je povezana s drugom komponentom, koju razvijaju drugi programeri, mora dobro razumjeti obje komponente i njihovu namjenu te predviđene funkcionalnosti. Zato je važno tijekom razvoja sustava imati dobro dokumentirane namjene i funkcionalnosti pojedinih komponenti.
-Osim posvećivanja pažnje sigurnosti koda pri razvoju i svjesnosti o mogućim zlonamjernim akterima koji će pokušati koristiti sustav na nepredviđene načine, važno je implementirati validacije korisničkog unosa i provjere stanja sustava i njegovih vrijednosti, sa što strožim ograničenjima, kako ne bi bilo moguće koristiti sustav izvan predviđenih granica. Na primjer ako je očekivani korisnički unos e-mail, mogu se koristiti već gotove implementacije koje provjeravaju da je uneseni e-mail validan i da ne sadržava nikakve znakove niti određene redoslijede dopuštenih znakova koji se ne mogu koristiti u e-mail adresi. Ako je očekivani korisnički unos cijeli broj u rasponu od jedan do devet, popratna validacija bi provjerava da je korisnički unos cijeli jednoznamenkasti broj u rasponu od jedan do devet, dok ostali unosi izbacuju pogrešku. Ove provjere nije dovoljno implementirati samo na korisničkoj strani, npr. korištenjem client-side JavaScript koda, jer se zahtjevi mogu jednostavno modificirati prije slanja, a provjere na korisničkoj strani zaobići. Potrebne su provjere korisničkog unosa na serverskoj strani, na samom korisničkom unosu, a poželjno i na dubljim i daljim dijelovima procesa obrade i posluživanja podataka.
+Dakle, tijekom razvoja, osim posvećivanja pažnje sigurnosti koda, treba voditi računa i o mogućim zlonamjernicima koji će pokušati koristiti sustav na nepredviđene načine. Treba primijeniti validacije korisničkog unosa i provjere stanja sustava i njegovih vrijednosti, sa što strožim ograničenjima, kako ne bi bilo moguće koristiti sustav izvan predviđenih granica. Na primjer ako je očekivani korisnički unos e-mail adresa, mogu se koristiti već gotove implementacije koje provjeravaju da je uneseni e-mail validan i da ne sadržava nikakve znakove niti određene redoslijede dopuštenih znakova koji se ne mogu koristiti u e-mail adresi. Ako je očekivani korisnički unos cijeli broj u rasponu od jedan do devet, treba provjeriti da je korisnički unos cijeli jednoznamenkasti broj u rasponu od jedan do devet, a za ostale javiti pogrešku. Važno je voditi računa da ove provjere nije dovoljno implementirati samo na korisničkoj strani, npr. korištenjem client-side JavaScript koda, jer se zahtjevi mogu jednostavno modificirati prije slanja, a provjere na korisničkoj strani zaobići. Potrebne su provjere korisničkog unosa na serverskoj strani, prilikom samog korisničkog unosa, a poželjno i na dubljim i daljim dijelovima procesa obrade i posluživanja podataka.
 Izvori:\\