行业安全问题的思考
目前,随着互联网的发展,传统行业也逐渐与互联网挂钩,形成各种各样的网上业务。由于这些业务涉及大量的用户隐私信息,导致其成为了黑客攻击的首要目标。
由于开发人员的安全意识薄弱,只注重web应用的功能性,而忽略了其安全的重要性,导致业务逻辑漏洞(主要是开发人员业务流程涉及缺陷导致的)层出不穷。
为什么业务逻辑漏洞成为黑客攻击的主要目标?
第一点:这些业务逻辑漏洞具有更高的价值,涉及用户的个人隐私,交易数据篡改等
第二点:由于开发人员的传统漏洞(SQL注入,XSS,SSRF等)的警惕,以及有较为安全的防护机制和设备,导 致对传统漏洞挖掘的难度比较大,导致黑客转向对业务逻辑漏洞的挖掘
第三点:目前没有较好的安全防护措施,可以防护业务逻辑漏洞
如何学习业务安全
第一点:掌握一套成熟的业务安全测试方法
第二点:了解目标平台的业务流程。在进行安全测试之前,对目标平台的业务流程进行一次完整的梳理
可以将业务分层成几大块,再将每个大模块分成小模块,然后再依次进行安全测试
第三点:要对目标公司或组织的实际业务有一定了解,了解目标的重要资产是什么,这样安全测试更具有针对性
推荐的两种测试技巧
在实践层次,推荐以下两种测试手法:
第一种:科学的测试手法。常规的方法有控制变量法,删减法等
第二种:学会使用思维导图,这样可以更方便的建立目标的业务流程以及不同业务之间的联系
来源:freebuf.com 2021-05-13 14:33:26 by: hu666666
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册