主页 / 0con&0ctf 2016 / 基于业务场景的安全测试
  • 作者
    曾裕智@FreeBuf & 漏洞盒子
  • 简介
    • 介绍
    • 企业级安全测试进化史

    • 漏洞类型vs业务场景

    • 基于漏洞类型的安全测试
    • 基于业务场景的安全测试
    • 业务场景测试流程

        1. 业务流程梳理及业务风险梳理
        1. 根据业务流程划分若干业务场景
        1. 确定重点业务场景及业务风险点
        1. 基于业务场景,流程,业务风险点执行安全测试
    • 业务场景测试要点

    • 从银行、金融、保险、证券到电商、O2O、游戏、社交、航空等 行业,业务操作越权无处不在。

    • 业务场景测试重点关注对象。
    • 原因都是服务端以客户端传入的参数为依据,没有对session或 会话权限做严格判断造成的。
    • 测试方向:平行权限、垂直权限 部分应用过分依赖数字签名,服务端忽略了对会话权限做判断
  • 援引
    http://0con.0ops.net/index.php/session/securitytest/
  • 提示
    本站仅做资料的整理和索引,转载引用请注明出处
附件下载
  • 0CON.2016.曾裕智.基于业务场景的安全测试.pdf
    时间: 大小: 2.31 M 下载: 207