业务逻辑漏洞是在程序的设计与开发过程中由于应用自身的业务流程存在逻辑缺陷而产生的一种隐蔽性极强的系统级漏洞。业务逻辑漏洞可按照业务流程的功能模块进行分类，包括登录认证、密码找回、验证码、业务流程、业务接口调用、业务办理等，常用测试工具有Burp Suite, htpwdScan和JSFinder。本文简要分析了JWT安全威胁，以登录认证模块的逻辑漏洞为示例展示了JWT攻击测试过程，并提出了一些防范与修复建议。