业务安全学习笔记–测试理论 – 作者:hu666666

业务安全测试概述

针对业务系统中的业务流程，业务逻辑设计，业务权限和业务数据以及相关支撑系统以及后台管理平台与业务相关的支撑功能，管理流程等方面的测试，挖掘业务安全漏洞。

业务安全测试流程

1.测试准备

包括对业务系统的前期熟悉工作，以了解被测业务系统的数量，规模和场景等。

针对白盒测试，可以通过查看开发文档，去熟悉业务。

针对黑盒测试，可以通过实际操作还原业务流程的方式来理解业务。

2.业务调研

针对业务系统的负责人进行访谈调研，了解业务系统的整体情况，包括部署情况，功能模块，业务流程，数据流，防护措施等内容

3.业务场景建模

针对不同的行业，不同的业务系统，识别其中的高风险业务场景并进行建模

4.业务流程梳理

在建模完成后，对重要的业务场景的各个业务模块逐一的进行业务流程梳理，从前台和后台，业务和支撑系统这4个不同的维度进行分析，识别各业务模块中的业务逻辑，业务数据流，功能字段等。

5.业务风险点识别

在完成前期不同维度的业务流程梳理工作后，针对前台业务应着重关注用户界面操作每一步可能的逻辑风险，数据流转以及处理的日志和审计

6.展开测试

正对前期业务流程的梳理和识别出的风险点，进行针对性的测试工作

7.撰写报告

来源：freebuf.com 2021-05-13 15:08:10 by: hu666666