文 档: 典型逻辑漏洞挖掘
作 者: 陆柏廷 漏洞盒子
语 言: 中文
标 签 漏洞挖掘 业务安全 安全测试
介 绍:

郑国祥介绍了web框架安全漏洞的fuzzing测试,利用静态代码流程分析,结合fuzzing跟动态检测机制挖掘框架0day,突破漏洞利用限制将鸡肋漏洞转变成严重漏洞。

  • 企业安全测试进化史
  • 何为业务场景
  • 业务逻辑漏洞是怎样的存在
  • 开发人员VS安全人员
  • 身份盗取|迷失的穿云箭
  • 身份盗取|简单认证
  • 身份盗取|最后一公里
  • 权限跨越|垂直水平
  • 权限跨越|签名突破
  • 交易篡改|签名破解
  • 交易篡改|局部验证
  • 资源消耗|变量覆盖
  • 资源消耗|并发请求
  • 资源消耗|薅羊毛
  • 如何高效测试
  • 业务流程梳理
  • 密码重置
  • 订单查询
  • 支付交易
  • 风险点识别
  • The STRIDE Threat Model
援 引: https://yq.aliyun.com/articles/57701
附件下载
相关推荐
网络漏洞的法律属性
#目录 - 一、网络漏洞的性质 - 二、网络漏洞上的权利 - 三、网络
WAF漏洞挖掘及安全架构
# WTK WAF ~~ - 0x1 绕绕绕绕绕绕绕绕绕绕绕绕绕绕绕绕绕绕绕绕
从0到N_企业安全建设经验篇
从0到N_企业安全建设经验篇
From Dvrto See Exploit of IoT Device
#0x00 目录 - 0x01 前言闲谈 - 0x02 漏洞挖掘 -
业务发展与业务安全的平衡
#目录 - 1 什么样的人适合业务安全 - 2 业务安全人员需要思考什么
Next Generation Vulnerability Finding Software
#Next Generation Vulnerability Finding S
阅读心得