本章處理紅隊(攻擊者視角的風險檢查)分析的第二步:把合法流程轉成濫用路徑,評估哪條業務流程最容易變成越權操作。目標是讓權限設計與業務流程一起驗證,避免只檢查單點 API。

【情境】哪些流程需要優先做濫用分析

下列流程通常優先納入濫用分析:

  • 邀請、審核、代理操作、帳號切換
  • 密碼重設、權限提升、方案升降級
  • 匯出、分享、批次操作
  • 跨租戶協作與第三方授權

【判讀流程】三層檢查法

  1. 目的層:確認每個流程的正常商業目的與預期受益者。
  2. 權限層:沿流程標示 authenticationauthorizationTenant Boundary 切換點。
  3. 濫用層:列出 BOLA / IDORFunction-Level Authorization 可觸發的非預期結果。

【風險代價】流程越長,放大效果越強

濫用路徑成功時,代價通常高於一般漏洞:它看起來像合法操作,偵測延遲較長,資料外流量可能更高,回溯也更困難。流程級分析越完整,越能縮小事故調查範圍並減少誤封。

【設計取捨】操作便利性與授權嚴謹度

流程越順,使用者體驗越好;同時,濫用成本也可能下降。常見做法是把高風險節點加入二次驗證、操作審批或風險分層,讓低風險路徑維持流暢,高風險路徑提高檢查強度。

【最低控制面】進入實作前要先定義

  • 主要流程的濫用情境清單與責任人
  • 高風險動作的授權層級與審核策略
  • 濫用偵測訊號與稽核欄位
  • 例外流程的測試與演練節點

【判讀訊號】何時代表流程濫用風險升高

  • 同一帳號在短時間內完成多段高風險流程
  • 代理操作與權限提升在同一時序連續發生
  • 流程中存在可跳步或可重放的關鍵節點
  • 例外流程的授權審核節奏與主流程脫鉤

【風險邊界】到哪裡仍是概念層

本章在概念層回答的是流程目的、授權切換點與濫用路徑。當討論進入具體 policy code、middleware 判斷與 API 權限實作時,章節責任會切到服務實體章節。

【交接點】何時路由到實作章節

  1. 已完成濫用情境清單後,交接到 資安與資料保護模組 7.2
  2. 已定義高風險流程的事件節奏後,交接到 事故報告轉 workflow

【延伸閱讀】流程原子卡片

流程原子卡片的責任是把高風險流程拆成單一問題節點。每張卡片都用同一格式說明為什麼會失效、常見失效樣式、判讀訊號與案例觸發條件。