渗透测试业务逻辑测试汇总—通用篇

最新推荐文章于 2023-10-23 16:17:39 发布
最新推荐文章于 2023-10-23 16:17:39 发布
阅读量1.2k 收藏 10
点赞数 3
文章标签: 安全 jwt 软件测试 cookie session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuteer_xu/article/details/107526988
版权
本文详细总结了渗透测试中业务逻辑漏洞的通用测试点,包括用户类、活动类、交易类、服务类及验证码类的相关测试,如登录、注册、密码找回、交易流程、验证码安全等方面,强调在测试过程中要全面覆盖参数和业务流程,理解各模块间的逻辑关系。
摘要由CSDN通过智能技术生成

本文作者:Angus(Ms08067实验室 SRSP TEAM小组成员)


0x00:前言

     在漫漫渗透路中,“业务逻辑漏洞“一词,想必各位都不陌生。行业内统一把程序逻辑不严谨或复杂导致的逻辑错误,造成的一系列危害的问题称为逻辑漏洞。业务逻辑漏洞覆盖面极广,可以说存在于目标的各个方方面面。网上对于业务逻辑的文章多到数不清,但是能尽可能详细的归纳总结的却少之又少。因为一人一个思想,对于不同人员开发的系统,逻辑问题也各不相同,因此菜鸡我主要是针对于通用的模块的测试点,尽可能的细化的整理。能让大家脑海中能有个大致的测试思维导图。

0x01:通用测试点

用户类

主要包含用户的登录、密码找回、个人信息查阅等测试点

登录模块

用户名枚举

密码爆破

登录绕过 //篡改服务器返回包的状态码信息

登录凭证未及时失效 //登录成功后,服务器返回的用户凭证未及时失效或凭证时间过长,导致可重复利用进行登录。

登录越权 //篡改服务器返回包的用户 id 参数,来登录他人账号、或请求包的用户 ID

空密码登录//抓包将 password 字段改为空进行发送

最低0.47元/天 解锁文章
Ms08067安全实验室
关注
Web安全测试学习手册-业务逻辑测试
dfdhxb995397的博客
04-19 402
i春秋作家:Vulkey_Chen 首先感谢朋友倾璇的邀请http://payloads.online/archivers/2018-03-21/1,参与了<web安全测试学习手册>的相关撰写,目前负责业务逻辑测试这一块的撰写,目前初步已经成型,先发出来让大家看看,欢迎点评,也可以加入我们一起来撰写~ 业务逻辑测试 介绍:这里对Web应用业务逻辑方面的安全缺陷...
【原创】软件测试经验图谱硬技能之业务逻辑
sylan215的软件测试技术学习
04-27 1251
上周,我怀着无比忐忑的心情推送了《再谈软件测试经验图谱》,本以为纯理论的东西会引起大家的排斥,没想到阅读量特别好,只是留言数并不多,所以没法准确知道大家的反馈。 今天我就趁热打铁,继续聊聊这个图谱的第二层级之硬技能,希望能继续引起共鸣。 先上干货,下图是我对硬技能做得分类: 今天我主要想聊聊硬技能之业务逻辑业务逻辑的重要性再怎么强调都不为过,可以直白的说,我们所有的工作都是为业务目标服务的,...
网络安全---渗透测试----业务逻辑漏洞(1-业务逻辑
最新发布
weixin_52796034的博客
10-23 560
业务逻辑是指一个实体单元为了向另一个实体单元提供服务,应该具备的规则与流程。业务逻辑是指在实际业务操作中,通过对业务规则和规程的分析和抽象,确定业务处理的规则和步骤。业务逻辑通常由一组规则或者算法来描述业务流程,涉及到数据的处理、存储、分析和展示等方面,它是一个抽象的概念,在软件开发中占据着重要的地位。在面向对象编程中,业务逻辑通常被封装在对象的方法中,以此来实现对数据的操作和处理。在Web应用程序中,业务逻辑通常会包含在Controller层中,用于处理用户请求和响应结果。
渗透测试业务逻辑之业务数据安全
发哥微课堂
08-06 1829
0x00:前言 上周做渗透,有一个 sql 注入,负责安全审核的人给开发说你们的程序既然还有 sql 注入,我一年也看不见几个。这句话让我又再次深刻的认识到,渗透测试常规的一些注入跨站漏洞不如以前那么盛了,有点经验的开发写东西都会去考虑到了,再加上修复方法也在逐渐的完善,逻辑类的东西也应该并重的去测。 0x01:分类 我把逻辑类的问题大概总结了一下,大概可以分为十个模块,分别是登录认证模块测...
4.10 业务逻辑测试
qq_44232452的博客
09-13 73
4.10.5 一个函数可以使用的次数限制。4.10.7 测试对应用程序滥用的防御。4.10.8 意外文件类型的测试上传。4.10.1 测试业务逻辑数据验证。4.10.2 测试伪造请求的能力。4.10.6 规避工作流程的测试。4.10.9 测试恶意文件上传。4.10.3 测试完整性检查。4.10.10 测试支付功能。4.10.0 业务逻辑简介。4.10.4 过程定时测试
渗透测试业务逻辑测试汇总—专项
Ms08067安全实验室
07-22 1263
本文作者:Angus(Ms08067实验室 SRSP TEAM小组成员)0x00:前言本次总结是借鉴了月神大大之前的部分专项业务逻辑测试点,结合自己的测试经验进行补充说明,分享细...
渗透测试原理与基本进程
xinzhouqifu6的博客
06-02 1194
渗透测试流程与方法渗透测试简介:渗透测试(penetrationtest)是模拟黑客攻击对业务系统进行安全测试,比黑客更早发现可导致企业数据泄露、资产受损、数据被篡改等漏洞,并协助企业进行修复。渗透测试目的:有用的渗透测试能够直接发现被测试目标真实存在的一些安全风险,如能够发现操作系统、运用程序、数据库、网络设备等存在的漏洞以及漏洞运用的或许性,及各种设备的口令脆弱性、网络设备的易攻击性、防火墙设备战略的严谨性;也就能开始发现和估算出被测试网络中存在安全方面的技术风险。
渗透测试一些知识点
wulanlin的博客
01-04 734
1、如果提示缺少参数,如{msg:params error},可尝使用字典模糊测试构造参数,进一步攻击。 2、程序溢出,int最大值为2147483647,可尝试使用该值进行整数溢出,观察现象。 3、403,404响应不灰心,尝试使用dirsearch等工具探测目录。 4、验证码简单绕过:重复使用,万能验证码(0000,8888),空验证码,验证码可识别(可用PKAV HTTP Fuzzer工具识别等) 5、短信轰炸绕过:手机号前加+86有可能会绕过,手机号输入邮箱,邮箱处输入手机号 6、如果验证
[车联网安全自学] Android安全之移动安全测试指南概述
橙留香Park的博客
02-02 789
[车联网安全自学] Android安全之移动安全测试指南概述;随着运营商新技术新业务的发展,运营商集团层面对安全的要求有所变化,渗透测试工作将会面临内容安全、计费安全、客户信息安全业务逻辑及APP(由于现今的网络技术日益发达,Android APP 的安全也有很多隐患,这些都需要我们不断地去注意,从而提高其安全性)等方面的挑战。随着运营商自主开发的移动APP越来越多,这些APP可能并不会通过应用市场审核及发布,其中的安全性将面临越来越多的挑战移动应用程序安全测试包括针对多种攻击和威胁媒介评估应用程序
SpringBoot——单元测试1——业务逻辑层单元测试
weixin_42040155的博客
09-29 1092
引入Spring-test-starter即可引入 Junit+Mockito+assertJ 业务逻辑层的单元测试 分析业务逻辑层的职责: 被controller层进行调用后; 1.校验数据 2.执行业务逻辑 - 调用其他原子服务的接口 - 组装数据 - 执行对应的操作 3.执行数据库操作 举个例子:创建订单createOrder() public class OrderService { public Boolean createOrder(CreateOrderRequest req) { //校
一起写RPC框架(二十四)RPC测试一---基本业务逻辑测试
BazingaLyncc
10-19 4180
进入了基本的测试,首先我们先进入基本的代码测试,我们先跑通代码: 首先我们先写两个简单的接口: HelloService.java package org.laopopo.example.demo.service; /** * * @author BazingaLyn * @description * @time * @modifytime */ publ
web渗透--37--业务逻辑数据验证
武天旭的博客
09-21 888
1、漏洞描述 应用程序必须确保只有逻辑有效的数据才能在系统应用服务器的前端输入。只有在服务器上验证数据,才能避免通过代理等方式篡改数据注入到服务器。 关于业务数据漏洞验证,是在应用程序中特有的,不同于构造请求的漏洞,它们不仅关注逻辑数据,更关心打破业务逻辑流程所带来的问题。 应用程序的前端和后端都必须校验和验证所拥有的数据,这种方法已经被使用,并通过了逻辑有效性证明。
业务逻辑中的测试总结(二)----业务与数据库交互需求的测试分解
weixin_30510153的博客
09-20 245
对服务器端的测试,免不了对服务器端的接口与数据库之间进行各种交互的业务测试。这类隐藏类需求的分解实际上也能使测试人员站在一个更高的角度去分解实际的业务需求。对数据库的操作,一般都是增删查改这四类,所以对其隐藏的需求类分解基本也是围绕这些方面,还有就是数据库数据存储时的一些问题。服务器与数据库之间一般不会直接进行连接,一般都会存在一个中间层,比如数据库代理或者ice_server之类...
业务逻辑测试的问题
yuemmm的博客
03-16 860
文章目录业务逻辑测试的问题1、导包2、编写业务逻辑类3、编写用户的pojo对象4、编写UserDAO接口5、编写IAaDAO对象6、编写IBbDAO对象7、编写AbService的测试类的对象8、编写UserService的测试类对象 业务逻辑测试的问题 场景:现在我的DAO层没写 只有约束 、现在我的业务逻辑层 已经写完了、现在是分层做测试 现在业务逻辑层想要测试怎么办? 在这种场景下、M...
渗透测试业务逻辑之业务接口调用
baiao3360的博客
08-26 237
版权声明:本文为CSDN博主「发哥微课堂」的原创文章,遵循CC 4.0 by-sa版权协议,转载请附上原文出处链接及本声明。原文链接:https://blog.csdn.net/fageweiketang/article/details/81668329 0x00:前言上周做渗透,有一个 sql 注入,负责安全审核的人给开发说你们的程序既然还有 sql 注入,我一年也看不见几个。...
开发和测试业务逻辑问题集
吃光他的饭,用光他的钱,泡光他的马子
01-17 298
每次在开发和测试业务逻辑biz时老是碰到这样那样似曾相识的问题,现在记一下备忘。 1、使用JPA/Hibernate/Ebean等ORM时来存取数据库时,不另外增加DAO层。理由是ORM已经封装和统一了不同数据库的基础访问、存取操作,不需要重复劳动,除非有特殊需要。 2、事务处理就是在biz层上定义的,推荐使用Spring容器来管理事务。 3、在使用事务注解时要注意@Transact...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值