业务安全

随着互联网+的发展,经济形态不断发生变化,众多传统行业逐渐融入互联网环境并利用信息通讯技术及互联网平台进行商务活动,这些平台(比如银行,保险,证券,电商,游侠,社交等等)由于涉及到大量大金钱交易,个人信息等重要隐私数据,因此成为黑客攻击的首要目标。而开发人员安全意识薄弱(只重视业务功能,而忽略在用户使用过程中个人行为对web应用的业务逻辑功能的安全性影响),开发代码频繁迭代导致这些平台业务逻辑漏洞层出不穷(业务逻辑漏洞主要是开发人员业务流程设计的缺陷,不仅局限于网络层,系统层,代码层等,比如登录验证的绕过,交易中的数据篡改,接口的恶意调用,等都属于业务逻辑漏洞。)

业务安全测试流程

测试准本

前期准备

业务调研

对业务系统进行调研

业务建模

针对不同行业,平台的业务系统,识别出其中的高风险业务场景进行建模

业务流程梳理

建模完成后需要对重要业务场景的各个业务模块逐一进行业务流程梳理

主要原则:

  • 区分业务主流程和分支流程
  • 概况归纳业务分支流程,将具有业务相似性的分支流程构成某一类业务流程,无需单独对其进行测试
  • 识别业务流程数据的信息流,特别是业务数据流在交互双方之间传输的先后顺序,路径等。
  • 识别业务数据流功能字段,识别数据流中包含的重要程度不登的信息,理解这些字段的含义有助于下阶段的风险点分析。

业务风险点识别

主要关注内容:

1.业务环节存在的风险点:

如登录注册找回密码等身份验证环节,是否存在完善的验证码机制,数据一致性机制,Session和Cookie校验机制等,是否能规避验证码绕过,暴力破解,SQL注入等漏洞

2. 支持系统存在的安全风险

用户访问机制是否完善,是否存在水平越权或垂直越权。系统加密存储机制是否完善,业务数据是否明文传输,业务接口是否可以非授权访问,是否可以重放,遍历,接口参数是否可以篡改等

业务数据安全

  • 商品支付金额篡改
  • 前端JS限制绕过验证
  • 请求重放
  • 业务上限测试
  • 商品订购数量篡改

密码找回安全

  • 验证码客户端回显测试
  • 验证码暴力破解
  • Response状态值修改测试
  • Session覆盖测试
  • 弱Token设计缺陷测试
  • 密码找回流程测试
  • 接口参数账号修改
  • 用户登录密码爆破

网络安全笔记-99-渗透-业务安全相关推荐

  1. 网络安全笔记8——虚拟专网技术

    网络安全笔记8--VPN技术 参考课程:中国大学MOOC<网络安全>--北京航空航天大学 本文偏向于有关协议的概述,关于VPN的详细介绍(实现技术.作用等)可以阅读我的另一篇文章--虚拟专 ...

  2. 千峰网络安全笔记(前三讲)

    典中典 <c语言从研发到脱发> <C++从入门到放弃> <Java从跨平台到跨行业> <Ios开发从入门到下架> <Android开发大全--从开 ...

  3. 网络安全笔记1——Internet协议的安全性

    网络安全笔记1--Internet协议的安全性 参考课程:中国大学MOOC<网络安全>--北京航空航天大学 文章目录 网络安全笔记1--Internet协议的安全性 <font co ...

  4. Lockdoor Framework:一套自带大量网络安全资源的渗透测试框架

    博客&文章 Reddit:[传送门] Medium.com:[传送门] Xploit Lab:[传送门] Station X:[传送门] Kelvin Security :[传送门] All ...

  5. 【网络安全学习】渗透测试篇01-DVWA靶场环境搭建教程

    渗透测试:通过经授权的模拟攻击,发现存在的漏洞,并以此对网络.主机.应用及数据的安全性进行评估. 靶场作用:在合法的环境下进行网络安全学习与演练 目录 为什么写这篇文章? 介绍及注意事项 环境搭建 1 ...

  6. Kali Linux学习笔记—无线渗透 WPA攻击(PSK破解、AIROLIB、JTR、cowpatty、pyrit)

    Kali linux 学习笔记 无线渗透--WPA攻击(PSK破解.AIROLIB.JTR.cowpatty.pyrit) PSK破解原理 PSK破解过程 实验步骤--使用字典rockyou.txt ...

  7. Kali Linux学习笔记—Web渗透(1)

    Kali Linux学习笔记-WEB渗透 侦察 Httrack 扫描 Nikto vega skipfish w3af Arachni OWASP_ZAP 必须掌握 Burpsuite 必须掌握 实验 ...

  8. 网络安全学习(千锋网络安全笔记)2--IP与基本DOS命令

    网络安全学习(千锋网络安全笔记)2–IP与基本DOS命令 文章目录 1.IP地址详解 **局域网(内网)** **IP地址** **子网掩码** **IP地址** **网关** **DNS** **测 ...

  9. 2020全年小迪网络安全笔记(目录)

    2020小迪网络安全 课程体系/目录: 2020上半年70天 基础入门-第1天 信息收集-第2-3天 漏洞分类-第4天 漏洞发现-第5天 漏洞利用-第6-28天 安全开发-第29-38天 代码审计-第 ...

  10. 【思否编程公开课】限时免费 网络安全之 Kali 渗透入门实战

    思否编程打造全新公开课系列,邀请大神级讲师分享技术干货,快来围观看直播~ 主题 网络安全之 Kali 渗透入门实战 内容介绍: 网络安全法的颁布后对企业网络安全建设有严格的要求,如果企业出现安全事故, ...

最新文章

  1. android studio gradle 位置更改
  2. 正则表达式匹配单行注解
  3. 三维重建:Kinect几何映射-SDK景深数据处理
  4. ANSYS——后处理中单元表(ELEMENT table)的作用、创建、使用
  5. 新一代数据库技术在双11中的黑科技
  6. 电梯的测试用例的设计点
  7. Android Spinner –下拉列表
  8. 前端跨域问题及解决方案
  9. PHP 判断常量,变量和函数是否存在
  10. VC2005工程常用设置系统环境变量设置
  11. 通用的业务编码规则设计实现
  12. 64位系统安装SQL2000SP4详细教程[已测试WIN72008R2]
  13. android xutils加密,xutils
  14. VMware Workstation中安装Windows10系统
  15. 关于别名(alias)的尴尬
  16. RAD Studio 11.X Alexandria release有何新的改变及改变实务
  17. 软考(软件设计师)考点总结 --法律法规与知识产权
  18. java企业级快速开发平台jeeadminlte(jeesite大胖老师修改版)
  19. 计算机实验楼应用需求分析,校园网络信息化需求分析报告
  20. MATLAB散点密度图的画法三

热门文章

  1. 基于单片机的超市储物柜设计_基于80C51单片机的电子储物柜系统
  2. 每个故事是一座布满灰尘的城墙
  3. 语音交互的基本概念和设计实践
  4. obs 推流编码在哪设置_在OBS上进行H265推流
  5. ffmpeg入门教程之YUV编码成h264 API详解
  6. 闪付卡(QuickPass)隐私泄露原理(重要文章)
  7. 【工控老马】力控7.0与S7-200SMART的驱动连接
  8. 尼采“最孤独者”“忧郁颂”
  9. DTL 模板 for
  10. python gdal 基于栅格shp文件裁剪geotif图