1、黑盒漏洞检测方式的不足 传统黑盒漏洞检测产品，如系统漏洞检测和WEB漏洞检测，采用黑盒的方式，利用构造畸形请求与响应的方式，进行漏洞探测，较难全面发现目标系统中潜在的各种漏洞，更难识别和检测业务逻辑漏洞。 2、白盒漏洞检测方式的局限 以白盒方式进行源代码审计的漏洞检测产品，无法识别业务流程和逻辑，主要检测SQL注入和XSS等通用WEB漏洞，仍然无法检测业务逻辑漏洞。且审计报告晦涩难懂，后续需要专业的安全专家进行解读，为漏洞的快速检测和修复增加了难度。

渗透测试通过模拟恶意黑客的攻击方法，来评估计算机网络系统与业务的安全。这个过程虽然包括对系统的任何弱点、技术缺陷或漏洞的主动分析，但仍然受到以下两个方面的影响。 1、 由于渗透测试人员对业务的理解程度不一，较难在短时间内全面发现业务系统中所有漏洞； 2、 且渗透测试质量取决于测试人员的水平高低，因人而异。同一个系统，交由不同的渗透测试技术人员，会有不同的渗透测试结果，缺乏标准化成果交付。

随着系统漏洞检测、WEB漏洞检测、基线配置核查以及IDS/IPS等安全产品的普及，传统的基于标准协议、接口和规则的安全问题得到了有效控制，而业务逻辑漏洞具有隐藏深、发现难和危害大的特点，势必成为企业关注的重中之重，业务安全漏洞检测也势必成为下一代漏洞检测的核心。 业务安全漏洞检测不是工具的堆砌，而是对业务流程的理解，对业务关系的梳理，对业务场景的分析，以及对支持业务的所有组件的熟悉，由此构建下一代业务安全风险检测模型。