目录
1.业务逻辑漏洞
随着互联网+的发展,各种互联网平台如银行、保险、证券、电商、P2P、O2O、游戏、社交、招聘、航空等频繁进行商务活动。由于涉及大量的金钱、个人信息和交易等重要隐私数据,这些平台成为黑客攻击的首要目标。
业务逻辑方面存在安全风险的主要原因:
-
开发人员的安全意识不够强烈
-
开发者只关注功能的实现,而忽视了用户行为对Web应用程序业务逻辑功能的安全性影响
-
开发代码频繁迭代
业务逻辑漏洞主要是开发⼈员业务流程设计的缺陷,不仅限于⽹络层、系统层、代码层等。⽐如登录验证的绕过、交易中的数据篡改、接口的恶意调⽤等,都属于业务逻辑漏洞。
2.业务安全测试的一般流程
-
业务场景建模:针对不同⾏业、不同平台的业务系统进行描述和理解其系统功能刚和交互。
-
风险点识别:风险点识别是根据业务场景和系统架构,识别可能存在的安全风险点和潜在的攻击路径。
-
开始测试:对前期业务流程梳理和识别出的⻛险点,利用各种安全测试工具和技术,对系统进行主动扫描、渗透测试、黑客攻击模拟等有针对性的测试。
3.业务安全场景
3.1 业务数据安全
-
商品⽀付⾦额篡改
-
一块钱买皮夹克
-
-
前端JS 限制绕过
-
绕过JS 限制,购买多个打折商品
-
-
请求重放测试
-
⼀次购买,多次收货
-
-
业务上限测试
-
⽆限制查询历史消费记录
-
-
商品订购数量篡改
-
damicms_5.4_⽹上商城任意商品购买
-
3.2密码找回安全
-
⽤⼾提交修改密码请求
-
账号认证:服务器发送唯⼀ID(例如短信验证码)只有账⼾所有者才能看的地⽅,完成⾝份验证
-
⾝份验证:⽤⼾提交验证码完成⾝份验证
-
修改密码:⽤⼾修改密码