金融项目安全业务场景

最新推荐文章于 2024-07-25 10:00:08 发布

我是你的甲乙丙丁

最新推荐文章于 2024-07-25 10:00:08 发布

阅读量775

点赞数

分类专栏：安全测试文章标签：安全金融网络

本文链接：https://blog.csdn.net/weixin_45437959/article/details/126138657

版权

安全测试专栏收录该内容

4 篇文章 1 订阅

订阅专栏

                    
                        
                    
                    测试案例所覆盖业务场景被测功能点基于威胁视角的漏洞分类基于威胁视角的漏洞名称
身份鉴别用户认证身份认证失效、敏感信息泄露手势密码测试
身份认证失效人脸识别测试
用户注册权限管理失效权限管理类风险测试
业务逻辑漏洞批量注册类风险测试
身份认证失效密码强度测试
敏感信息泄露密码明文传输测试
密码明文存储测试
用户名枚举测试
服务器内部错误测试
服务器多余回显测试
输入验证失效文件上传漏洞测试
用户登录身份认证失效认证模式绕过测试
暴力破解测试
恶意锁定测试
敏感信息泄露用户名枚举测试
密码明文传输测试
权限管理失效身份信息维护方式测试
会话管理失效会话固定漏洞测试
Cookie属性测试
Cookie字段可预测测试
会话标识随机性测试
用户注销会话管理失效会话信息失效测试
会话信息超时测试
敏感信息泄露会话信息清除测试
浏览器缓存威胁测试
身份认证失效异地登录测试
密码找回敏感信息泄露旧密码发放测试
服务器多余回显测试
用户名枚举测试
业务逻辑漏洞工作流程逃逸测试
权限管理失效身份信息维护方式测试
短信、语音、邮箱验证码身份认证失效验证码锁定机制测试
验证码绕过测试
验证码失效测试
验证码自定义修改测试
图形验证码身份认证失效验证码绕过测试
验证码失效测试
验证码随机性测试
账户管理密码修改身份认证失效密码强度测试
验证旧密码测试
权限管理失效身份信息维护方式测试
业务逻辑漏洞工作流程逃逸测试
用户设置权限管理失效身份信息维护方式测试
业务逻辑漏洞设置限制绕过测试
额度重置测试
竞争性问题测试
参数篡改测试
信息查询信息查询及内容发布权限管理失效、业务逻辑漏洞查询数据遍历测试
异常处理错误、会话管理失效第三方接口测试
转账身份认证失效身份认证缺失测试
业务逻辑漏洞金额篡改测试
重放攻击测试
工作流程逃逸测试
支付业务逻辑漏洞金额篡改测试
数量篡改测试
币种篡改测试
运费篡改测试
优惠券篡改测试
优惠券遍历测试
优惠券反复使用测试
竞争性问题测试
支付状态篡改测试
退款流程测试
退款金额测试
余额校验测试
积分兑换比例篡改测试
分期期次篡改测试
重放攻击测试
工作流程逃逸测试
业务逻辑漏洞、敏感信息泄露订单签名测试
金融查询类账户信息查询权限管理失效、业务逻辑漏洞查询数据遍历测试
异常处理错误、会话管理失效第三方接口测试
签约解约签约解约业务逻辑漏洞工作流程逃逸测试
重放攻击测试
奖励限制测试
权限管理失效身份信息维护方式测试
在线风险评估在线风险评估业务逻辑漏洞工作流程逃逸测试
申请申请权限管理失效身份信息维护方式测试
会话管理失效Cookie字段可预测测试
变更变更权限管理失效身份信息维护方式测试
业务逻辑漏洞解约后变更测试
参数篡改测试
申购申购权限管理失效身份信息维护方式测试
业务逻辑漏洞竞争性问题测试
参数篡改测试
金额篡改测试
赎回赎回权限管理失效身份信息维护方式测试
业务逻辑漏洞竞争性问题测试
重放攻击测试
提前赎回测试
参数篡改测试
金额篡改测试
通用型场景输入验证漏洞SQL注入
跨站脚本攻击（XSS）
XML注入
HTTP参数污染
未验证的重定向和转发
权限管理失效目录遍历/文件包含
输入验证失效文件上传漏洞
会话管理失效跨站请求伪造（CSRF）
客户端漏洞点击劫持
敏感信息泄露非法字符测试
非法URL测试
SSL/TLS安全性测试
通过未加密信道发送敏感数据测试
异常处理错误非法滥用测试
配置管理错误目录浏览漏洞测试
IIS短文件名漏洞测试
基础服务弱口令测试
应用平台配置测试
HTTP方法测试

                

我是你的甲乙丙丁

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
金融项目安全业务场景

业务场景、功能点及漏洞分类
复制链接

扫一扫

专栏目录

测试案例所覆盖业务场景	被测功能点	基于威胁视角的漏洞分类	基于威胁视角的漏洞名称
身份鉴别	用户认证	身份认证失效、敏感信息泄露	手势密码测试
		身份认证失效	人脸识别测试
	用户注册	权限管理失效	权限管理类风险测试
		业务逻辑漏洞	批量注册类风险测试
		身份认证失效	密码强度测试
		敏感信息泄露	密码明文传输测试
			密码明文存储测试
			用户名枚举测试
			服务器内部错误测试
			服务器多余回显测试
		输入验证失效	文件上传漏洞测试
	用户登录	身份认证失效	认证模式绕过测试
			暴力破解测试
			恶意锁定测试
		敏感信息泄露	用户名枚举测试
			密码明文传输测试
		权限管理失效	身份信息维护方式测试
		会话管理失效	会话固定漏洞测试
			Cookie属性测试
			Cookie字段可预测测试
			会话标识随机性测试
	用户注销	会话管理失效	会话信息失效测试
			会话信息超时测试
		敏感信息泄露	会话信息清除测试
			浏览器缓存威胁测试
		身份认证失效	异地登录测试
	密码找回	敏感信息泄露	旧密码发放测试
			服务器多余回显测试
			用户名枚举测试
		业务逻辑漏洞	工作流程逃逸测试
		权限管理失效	身份信息维护方式测试
	短信、语音、邮箱验证码	身份认证失效	验证码锁定机制测试
			验证码绕过测试
			验证码失效测试
			验证码自定义修改测试
	图形验证码	身份认证失效	验证码绕过测试
			验证码失效测试
			验证码随机性测试
账户管理	密码修改	身份认证失效	密码强度测试
			验证旧密码测试
		权限管理失效	身份信息维护方式测试
		业务逻辑漏洞	工作流程逃逸测试
	用户设置	权限管理失效	身份信息维护方式测试
		业务逻辑漏洞	设置限制绕过测试
			额度重置测试
			竞争性问题测试
			参数篡改测试
信息查询	信息查询及内容发布	权限管理失效、业务逻辑漏洞	查询数据遍历测试
		异常处理错误、会话管理失效	第三方接口测试
	转账	身份认证失效	身份认证缺失测试
		业务逻辑漏洞	金额篡改测试
			重放攻击测试
			工作流程逃逸测试
	支付	业务逻辑漏洞	金额篡改测试
			数量篡改测试
			币种篡改测试
			运费篡改测试
			优惠券篡改测试
			优惠券遍历测试
			优惠券反复使用测试
			竞争性问题测试
			支付状态篡改测试
			退款流程测试
			退款金额测试
			余额校验测试
			积分兑换比例篡改测试
			分期期次篡改测试
			重放攻击测试
			工作流程逃逸测试
		业务逻辑漏洞、敏感信息泄露	订单签名测试
金融查询类	账户信息查询	权限管理失效、业务逻辑漏洞	查询数据遍历测试
		异常处理错误、会话管理失效	第三方接口测试
签约解约	签约解约	业务逻辑漏洞	工作流程逃逸测试
			重放攻击测试
			奖励限制测试
		权限管理失效	身份信息维护方式测试
在线风险评估	在线风险评估	业务逻辑漏洞	工作流程逃逸测试
申请	申请	权限管理失效	身份信息维护方式测试
		会话管理失效	Cookie字段可预测测试
变更	变更	权限管理失效	身份信息维护方式测试
		业务逻辑漏洞	解约后变更测试
			参数篡改测试
申购	申购	权限管理失效	身份信息维护方式测试
		业务逻辑漏洞	竞争性问题测试
			参数篡改测试
			金额篡改测试
赎回	赎回	权限管理失效	身份信息维护方式测试
		业务逻辑漏洞	竞争性问题测试
			重放攻击测试
			提前赎回测试
			参数篡改测试
			金额篡改测试
通用型场景		输入验证漏洞	SQL注入
			跨站脚本攻击（XSS）
			XML注入
			HTTP参数污染
			未验证的重定向和转发
		权限管理失效	目录遍历/文件包含
		输入验证失效	文件上传漏洞
		会话管理失效	跨站请求伪造（CSRF）
		客户端漏洞	点击劫持
		敏感信息泄露	非法字符测试
			非法URL测试
			SSL/TLS安全性测试
			通过未加密信道发送敏感数据测试
		异常处理错误	非法滥用测试
		配置管理错误	目录浏览漏洞测试
			IIS短文件名漏洞测试
			基础服务弱口令测试
			应用平台配置测试
			HTTP方法测试