文 档: 典型逻辑漏洞挖掘
作 者: 陆柏廷 漏洞盒子
语 言: 中文
标 签 漏洞挖掘 业务安全 安全测试
介 绍:

郑国祥介绍了web框架安全漏洞的fuzzing测试,利用静态代码流程分析,结合fuzzing跟动态检测机制挖掘框架0day,突破漏洞利用限制将鸡肋漏洞转变成严重漏洞。

  • 企业安全测试进化史
  • 何为业务场景
  • 业务逻辑漏洞是怎样的存在
  • 开发人员VS安全人员
  • 身份盗取|迷失的穿云箭
  • 身份盗取|简单认证
  • 身份盗取|最后一公里
  • 权限跨越|垂直水平
  • 权限跨越|签名突破
  • 交易篡改|签名破解
  • 交易篡改|局部验证
  • 资源消耗|变量覆盖
  • 资源消耗|并发请求
  • 资源消耗|薅羊毛
  • 如何高效测试
  • 业务流程梳理
  • 密码重置
  • 订单查询
  • 支付交易
  • 风险点识别
  • The STRIDE Threat Model
援 引: https://yq.aliyun.com/articles/57701
附件下载
相关推荐
大型互联网企业的数据安全攻与防
- 定义 - 美国企业数据泄露的挑战 - 大型互联网企业面临的挑战 - 普
国内SRC漏洞挖掘技巧与经验分享
- 信息收集 - 子域名收集 - IP段收集 - 端口扫描 - 字典的收
从源代码漏洞挖掘谈有价值研究
- 基于深度学习的漏洞检测 - 并发漏洞检测
bugscan发展历程以及框架改进
总结了bugscan从2011至今的发展历程,并感谢了一直以来为bugscan做
唯品会安全应急杂谈
主要介绍唯品会安全应急响应中心平台建设跟特点,以及VSRC在跟白帽子运营
电商安全服务和产品化的初步探索
概括了京东电商安全总体框架,分析各业务节点的安全风险和风控措施 #目录
阅读心得