主页 / 0con&0ctf 2016 / 基于业务场景的安全测试
-
标题
-
作者曾裕智@FreeBuf & 漏洞盒子
-
简介
- 介绍
-
企业级安全测试进化史
-
漏洞类型vs业务场景
- 基于漏洞类型的安全测试
- 基于业务场景的安全测试
-
业务场景测试流程
-
- 业务流程梳理及业务风险梳理
-
- 根据业务流程划分若干业务场景
-
- 确定重点业务场景及业务风险点
-
- 基于业务场景,流程,业务风险点执行安全测试
-
-
业务场景测试要点
-
从银行、金融、保险、证券到电商、O2O、游戏、社交、航空等 行业,业务操作越权无处不在。
- 业务场景测试重点关注对象。
- 原因都是服务端以客户端传入的参数为依据,没有对session或 会话权限做严格判断造成的。
- 测试方向:平行权限、垂直权限 部分应用过分依赖数字签名,服务端忽略了对会话权限做判断
-
援引http://0con.0ops.net/index.php/session/securitytest/
-
提示本站仅做资料的整理和索引,转载引用请注明出处
相关推荐
-
2016-09-04 03:55:35
-
2016-03-02 07:52:14
-
2018-05-09 12:25:59
-
2016-08-02 02:19:19
附件下载
-
0CON.2016.曾裕智.基于业务场景的安全测试.pdf