本文介绍了业务安全的背景,指出随着互联网+的发展,业务系统成为黑客攻击的主要目标,尤其是涉及金融交易、个人隐私的平台。业务安全测试流程包括测试准备、业务调研、建模、流程梳理、风险点识别和测试执行。在风险点识别中,关注了身份验证、访问控制、数据安全等多个方面。测试完成后,应撰写报告记录发现的风险并提出建议。
目录
1 业务安全概述
1.1 业务安全背景
近年来,随着信息化技术的迅速发展和全球一体化进程的不断加快,计算机和网络已经成为与所有人都息息相关的工具和媒介,个人的工作、生活、娱乐,企业的生产、管理,乃至国家的发展和改革都无处其外。
信息和互联网带来的不仅仅是便利和高效,大量隐私、敏感和高价值的信息数据资产成为恶意攻击者攻击和威胁的主要目标,从早期以极客为核心的黑客黄金时代,待现在利益链驱动的庞大黑色产业,网络安全已经成为任何个人、企业、组织和国家必须面临的重要问题。
1.2 业务安全现状
随着互联网+的发展,经济形态不断发生演变。众多传统行业逐步地融入互联网,并利用信息通信技术和互联网平台进行频繁的商务活动,这些平台(如银行、保险、证券、电商、P2P、020、游戏、社交、招聘、航空等)由于涉及大量的金钱、个人信息、交易等重要隐私数据,已经成为黑客攻击的首要目标,而由于开发人员安全意识淡薄(往往只注重功能的实现而忽略了在用户使用过程中个人行为对Web应用程序的业务逻辑功能的安全性影响)、开发代码频繁迭代导致这些平台业务逻辑层面的安全风险层出不穷。
这些漏洞主要是开发人员业务流程设计的缺陷,不仅存在于网络层、系统层、代码层等。比如登录验证的绕过、交易中的数据修改、接口的恶意调用等,都属于业务逻辑漏洞。
1.3 黑客攻击的目标
一方面随着社会和科技的发展,购物、社交、P2P、020、游戏、招聘等业务纷纷具备在线支付功能,同时还保存大量隐私、敏感数据。如电商支付系统保存着用户手机号、姓名、家庭住址、银行卡信息及支付密码等,这些信息都是黑客感兴趣的敏感信息。攻击者可以利用程序员的设计缺陷进行交易数据篡改、敏感信息盗取、资产窃取等操作。现在的黑客不在以炫耀技能为主要目的,而主要以经济利益为目的,攻击的目的逐渐转变为趋利化。
另一方面,如今的业务系统对于传统安全漏洞防护的
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
