A METHODOLOGY FOR SECURITY TESTING OF DJANGO WEB APPLICATIONS WITH AN EMPHASIS ON BUSINESS LOGIC VULNERABILITIES
DOI:
https://doi.org/10.52754/16948610_2025_4_14%20Keywords:
веб-тиркеме коопсуздугу, бизнес-логикасынын кемчиликтери, объект деңгээлиндеги уруксаттар, транзакциялар жана маалыматтардын бүтүндүгү, коопсуздук үчүн CI/CD, DAST/IASTAbstract
This paper presents a hands-on methodology for security testing of Django web applications with a dedicated focus on business-logic vulnerabilities–defects rooted not in low-level implementation flaws but in violated domain invariants and misdesigned workflows. We formalize domain invariants and demonstrate how to convert them into executable test oracles. The proposed process spans from threat modeling and abuse-case elicitation tailored to a given Django project to state- and property-based test design, including metamorphic testing. We explain how to instrument Django (middleware, signals, transactions, permissions, URLConf) to log, enforce, and verify invariants, and how to combine unit, integration, and API tests with dynamic and interactive techniques (DAST/IAST). We introduce business-logic coverage metrics (role-endpoint matrices, invariant coverage, and critical-scenario coverage) and provide CI/CD automation patterns. An e-commerce checkout case illustrates discount manipulation, object-level authorization, inventory race conditions, and multi-step validation bypass. Throughout, we mark concrete insertion points for figures, tables, and code listings, enabling seamless adoption by engineering teams.
References
Аркабаев, Н., Алымова, З. (2024). Разработка WEB серверных приложений на базе .net core в примере интернет-магазина. Вестник Ошского государственного университета, (1), 142–154. https://doi.org/10.52754/16948610_2024_1_13
Аркабаев, Н., Арапбаев, Б., Ражапов, С. (2025). Трансформация финансового анализа с помощью языка программирования python: от рутинных вычислений к стратегическим решениям. Вестник Ошского государственного университета, (2), 122–132. https://doi.org/10.52754/16948610_2025_2_11
Карабаев, С.Э. (2025). Django vs ASP.Net Core: сравнительный анализ архитектурных паттернов для масштабируемых enterprise-решений. Research and Implementation, 3(3), 68–77. https://zenodo.org/records/15019033
Kirill. (2025). Безопасность Django-приложений: главные угрозы и защита на практике. VC.ru. https://vc.ru/dev/2124507-bezopasnost-django-prilozheniy-ugrozy-zashchita
Омаралиева, Г., Абдумиталип уулу, К., Жунусова, Г., Санжар кызы, А. (2025). Сравнительный анализ мотивации к изучению программирования у студентов направлений ИВТ и ИСТ института МФТИТ ОШГУ. Вестник Ошского государственного университета, (2), 81–93. https://doi.org/10.52754/16948610_2025_2_8
Орликов, В. (2025). «Казнить нельзя помиловать»: уязвимости из-за ошибок в бизнес-логике. Analyst Days. https://analystdays.ru/ru/talk/117628
Путято, М.М., Макарян, А.С., Лещенко, В.В., Немчинова, В.О. (2022). Анализ типовых уязвимостей при построении веб-приложений. Информатика и системы управления, (3), 306–315.
Тажикбаева, С.Т., Айтбай кызы, Д., Тагаева, Г.Т. (2025). Python программалоо тилинин мүмкүнчүлүктөрүн окутуу процессинде колдонуу. In Билим берүүдөгү математика, физика жана маалыматтык технологиялардын актуалдуу маселелери (pp. 144–149).
Hypothesis. (n.d.). Hypothesis – property-based testing for Python. https://hypothesis.works/
Kim, I.L., Zheng, Y., Park, H., Wang, W., You, W., Aafer, Y., Zhang, X. (2020). Finding client-side business flow tampering vulnerabilities. In Proceedings of the 42nd International Conference on Software Engineering (ICSE ’20) (pp. 1–12).
Sane, P. (2020). Is the OWASP Top 10 list comprehensive enough for writing secure code? arXiv. https://arxiv.org/abs/2002.11269
Tunalı, A., Kepir, Y. (2025). Business logic vulnerabilities in the digital era: A detection framework using artificial intelligence. Information, 16(7), Article 585. https://doi.org/10.3390/info16070585
Downloads
Published
How to Cite
Issue
Section
License
Copyright (c) 2025 Абдималик Омаралиев, Самат Карабаев, Гулбайра Омаралиева, Данг Вэньхао
This work is licensed under a Creative Commons Attribution-NonCommercial 4.0 International License.
