随着前后端框架的成熟，传统的SQL注入和XSS等漏洞减少，攻击者更倾向于利用业务逻辑漏洞。本文介绍了业务逻辑漏洞的特征和常见类型，并介绍了使用行为分析模型和应用程序威胁建模过程来检测和避免业务逻辑漏洞。常见的业务逻辑漏洞包括越权访问、Cookie提权和验证码更新逻辑绕过。为了避免业务逻辑漏洞，可以使用应用程序威胁建模过程来进行安全设计和测试。