HibaKurdieh/business-logic-vulnerability-poc

# HibaKurdieh # 业务逻辑漏洞实验室 一个小型 Node.js/Express 实验项目，演示订阅工作流中的两个**业务逻辑漏洞**，以及它们的**安全实现**。该项目设计为动手实验，可本地运行。 ## 功能 - 简单的订阅状态机（`REGISTERED → PLAN_SELECTED → PAYMENT_PENDING → ACTIVE`） - 两种漏洞流程 + 两种安全流程： - 支付回调绕过 vs 安全支付回调 - 滥用退款 vs 带验证和幂等性的安全退款 - 单页 HTML UI，可触发正常、漏洞和安全流程 - JSON API 暴露当前状态和内存中的小型审计日志 ## 技术栈 - Node.js + Express - TypeScript（编译为 `dist/server.js`） - 静态前端：HTML、CSS、原生 JavaScript ## 本地运行 从项目根目录执行： ``` npm install npm run build npm run dev ``` 然后在浏览器中打开 `http://localhost:3000`。 ## 项目结构（概览） - `src/server.ts` — Express 应用和 HTTP 路由 - `src/subscription.ts` — 订阅状态、漏洞和安全逻辑、审计日志 - `src/state/subscriptionState.ts` — 订阅状态枚举 - `public/index.html` — 交互式演示 UI - `dist/` — 编译后的 JavaScript（执行 `npm run build` 后） ======= # 业务逻辑漏洞POC 概念验证演示 Web 订阅系统中的业务逻辑漏洞，包括支付绕过和未授权退款利用。

标签：CISA项目, Express, GNU通用公共许可证, MITM代理, Node.js, PoC, TypeScript, Web安全, 业务逻辑漏洞, 多模态安全, 安全插件, 安全测试, 支付安全, 攻击性安全, 攻击模拟, 数据可视化, 暴力破解, 自动化攻击, 蓝队分析, 订阅系统, 退款漏洞, 驱动签名利用