Un ataque de lógica empresarial es un exploit que se aprovecha de una falla en la programación que administra el intercambio de información entre una interfaz de usuario y la base de datos de soporte de la aplicación.
Los ataques de lógica empresarial pueden ser difíciles de defender porque el atacante no requiere acceso a nada más que lo que una empresa expone a través de sus aplicaciones web orientadas al cliente. Los defectos comunes de la lógica empresarial incluyen una validación de recuperación de contraseña débil y una codificación de aplicaciones web inadecuada, particularmente con respecto al uso de técnicas de cifrado y validación de entrada.
Los riesgos de los ataques a la lógica empresarial incluyen el robo de datos, la pérdida de ingresos y las violaciones de la seguridad de la red. Para evitar ataques de lógica empresarial, el primer paso es mejorar los procesos de seguridad en el ciclo de vida del desarrollo de software (SDLC). A medida que más programadores, e incluso no programadores, desarrollan aplicaciones web o mashups, es fundamental garantizar que se sigan principios sólidos de programación de seguridad de aplicaciones web.