ビジネスロジック脆弱性

ビジネスロジック脆弱性（Business Logic Vulnerability）に関する記事をまとめています。

ビジネスロジック脆弱性とは、アプリケーションの仕様や処理の流れに存在する設計上の欠陥を悪用する攻撃です。
SQLインジェクションやXSSのような技術的なバグではなく、正常な機能の組み合わせや想定外の操作によって不正な処理が成立してしまう点が特徴です。

このタグでは、Web Security Academyのラボ解説や、WordPressサイトに置き換えた場合の具体例などを紹介しています。

WordPressで起こるビジネスロジック脆弱性まとめ｜認証バイパス・価格改ざん・クーポン不正の実例

2026-03-282026-03-20 vivisec

WordPressのセキュリティというと、SQLインジェクションやXSSなどの技術的な脆弱性が注目されがちです。しかし実際の攻撃では、仕様や設計のミスによって発生する「ビジネスロジック脆弱性」も多く利用されています。 … 続きを読む

2026-03-282026-03-19 vivisec

今回は、Web Security Academyの「Bypassing access controls using email address parsing discrepancies」というラボを解説します。このラ … 続きを読む

2026-03-282026-03-19 vivisec

今回は、Web Security Academyの「Authentication bypass via encryption oracle」というラボを解説します。このラボでは、一見しっかり暗号化されているCookie … 続きを読む

2026-03-282026-03-18 vivisec

今回は、Web Security Academyの「Infinite money logic flaw」というラボを解説します。このラボでは、購入の流れそのものは一見正常に見えるのに、割引されたギフトカードを買って … 続きを読む

2026-03-282026-03-17 vivisec

今回は、Web Security Academyの「Authentication bypass via flawed state machine」というラボを解説します。このラボでは、ログイン処理の順番の設計ミスによ … 続きを読む

2026-03-282026-03-16 vivisec

今回は、PortSwiggerのWeb Security Academyにあるラボ「Flawed enforcement of business rules」を解説します。このラボでは、ECサイトのクーポン割引の処理ロ … 続きを読む

2026-03-282026-03-08 vivisec

※本記事にはアフィリエイトリンクが含まれています。今回解説するのは、Web Security Academyのラボ「Insufficient workflow validation」です。このラボでは、ECサイト … 続きを読む

2026-03-282026-03-05 vivisec

Web Security Academyのラボ「2FA simple bypass」は、二段階認証（2FA）が設定されているのに、実際には簡単に回避できてしまうケースを扱ったラボです。 2FAはパスワードが漏れても守 … 続きを読む

2026-03-282026-03-03 vivisec

今回はWeb Security Academyの「Password reset broken logic」ラボをもとに、パスワードリセット機能の設計ミスについて解説します。パスワードリセットは、ほとんどのWebサービス … 続きを読む

2026-03-282026-03-01 vivisec

今回は、PortSwiggerのWeb Security Academyにある「Weak isolation on dual-use endpoint」というラボをもとに、Webアプリの設計ミスによって他人のアカウン … 続きを読む