上一篇博客:网络安全学习篇50_第四阶段_SSRF
目录
业务安全
- 概述
- 黑客攻击的目标
- 业务安全测试流程
- 业务逻辑安全
- 业务数据安全
开始
一、业务安全
1.1 概述
业务的逻辑漏洞
- 登录验证的绕过
- 交易中的数据篡改
- 接口的恶意调用
…
1.2黑客攻击的目标
1.3业务安全测试流程
应用登录功能实现流程
业务风险点识别
- 访问控制缺失
用户权限过大 - 失效的身份验证
验证码绕过、暴力**、SQL注入等 - 应用接口未授权访问
接口放在互联网上,没有设置密码,可以直接调用
业务数据安全
之前的一分钱抓包、改包购物漏洞
-
商品支付金额的篡改
-
前端JSS限制绕过验证
-
请求重放测试
一次购买,多次收货 -
业务上限测试
-
商品订购数量的修改
密码安全找回
-
验证码客户端回显测试
-
验证码暴力**
-
Response状态值修改测试
-
session覆盖
-
弱Token设计缺陷测试
…
…
参考:B站千峰