业务安全学习笔记–前言 – 作者:hu666666

行业安全问题的思考

目前,随着互联网的发展,传统行业也逐渐与互联网挂钩,形成各种各样的网上业务。由于这些业务涉及大量的用户隐私信息,导致其成为了黑客攻击的首要目标。

由于开发人员的安全意识薄弱,只注重web应用的功能性,而忽略了其安全的重要性,导致业务逻辑漏洞(主要是开发人员业务流程涉及缺陷导致的)层出不穷。

为什么业务逻辑漏洞成为黑客攻击的主要目标?

第一点:这些业务逻辑漏洞具有更高的价值,涉及用户的个人隐私,交易数据篡改等

第二点:由于开发人员的传统漏洞(SQL注入,XSS,SSRF等)的警惕,以及有较为安全的防护机制和设备,导 致对传统漏洞挖掘的难度比较大,导致黑客转向对业务逻辑漏洞的挖掘

第三点:目前没有较好的安全防护措施,可以防护业务逻辑漏洞

如何学习业务安全

第一点:掌握一套成熟的业务安全测试方法

第二点:了解目标平台的业务流程。在进行安全测试之前,对目标平台的业务流程进行一次完整的梳理

可以将业务分层成几大块,再将每个大模块分成小模块,然后再依次进行安全测试

第三点:要对目标公司或组织的实际业务有一定了解,了解目标的重要资产是什么,这样安全测试更具有针对性

推荐的两种测试技巧

在实践层次,推荐以下两种测试手法:

第一种:科学的测试手法。常规的方法有控制变量法,删减法等

第二种:学会使用思维导图,这样可以更方便的建立目标的业务流程以及不同业务之间的联系

来源:freebuf.com 2021-05-13 14:33:26 by: hu666666

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论