超级会员免费看
本文详细介绍了业务安全测试的概念、模型、流程和关键点,强调了业务流程设计缺陷、业务逻辑、数据流转等方面的安全风险。通过业务场景建模、流程梳理和风险点识别,指导如何进行全面的业务安全测试,旨在提升业务系统的安全性。
系统的介绍业务安全测试理论方法案例
1 业务安全试概述
业务安全测试通常是指针对业务运行的软、硬件平台(操作系统、数据库、中间件等),业务系统自身(软件或设备) 和业务所提供的服务进行安全测试,保护业务系统免受安全威胁,以验证业务系统符合安全需求定义和安全标准的过程。本书所涉及的业务安全主要是系统自身和所提供服务的安全,即针对业务系统中的业务流程、业务逻辑设计、业务权限和业务数据及相关支撑系统及后台管理平台与业务相关的支撑功能、管理流程等方面的安全测试,深度挖掘业务安全漏洞,并提供相关整改修复建议,从关注具体业务功
能的正确呈现、安全运营角度出发,增强用户业务系统的安全性。传统安全测试主要依靠基于漏洞类型的自动化扫描检测,辅以人工测试,来发现如SOL 注入、XSS、任意文件上传、远程命令执行等传统类型的漏洞,这种方式往往容易忽略业务系统的业务流程设计缺陷、业务逻辑、业务数据流转、业务权限、业务数据等方面的安全风险。过度依赖基于漏洞的传统安全测试方式脱离了业务系统本身,不与业务数据相关联,很难发现业务层面的漏洞,企业很可能因为简单的业务逻辑漏洞而蒙受巨大损失。
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
