Web 安全中的业务安全战争

作者/分享人:肖志华
向 Ta 提问
ID:rNma0y,一个搞信安的小朋友,白帽子/看雪论坛安全专家 ,同时也是一个缺少社会的毒打的年轻人。现担任渗透测试工程师,涉猎过无线电、Web、软件逆向、民间黑产情报感知,理解攻防,姿势不错。也是一支不出名的民间小型安全团队队长,懂得不多,还请毒打,联系邮箱:Web@secus.org

业务安全区域比较突出的行业有银行、保险、医疗、招聘等行业网站,因为涉及到大量的个人信息和金额交易,已经沦为黑客的主要攻击目标。

因为业务逻辑漏洞主要是程序设计流程的缺陷导致的风险问题。比如登录验证绕过、0 元订单修改 、接口恶意调用,越权访问等问题。常规的渗透测试往往都是测试不出来的,需要人工进行高级的渗透测试。

本次 Chat,将围绕业务场景中的安全问题进行较详细介绍和测试方法。包含:

  1. 业务授权与越权测试;
  2. 商品支付金额篡改测试;
  3. 验证码暴力破解测试;
  4. 密码找回测试;
  5. 接口调用测试。

不限于以上内容,都是在业务场景中的问题,结合实际漏洞进行分析。

已有132人预订
预订达标
文章出炉
     
18.12.28
01月11日
本场 Chat 文章已出炉,购买后即可阅读文章并获得一张肖志华的读者圈Pass
请务必添加GitChat服务号以查看活动进度及获取活动通知。
退款保证:
• 01月02日前,预订人数未达标,您将获得全额退款。
• 作者未按时完成文章,您将获得全额退款。
你可能还喜欢
你不得不了解的 Flutter 入门教程
火币集团研发中心
渗透测试入门指南与路线规划
程序员-玄魂
微服务演进中的经验和反思
顾宇
漫谈函数式编程:聊聊 OCaml
梦鸽
程序员怎样提高项目管理意识
伊伊
使用 Selenium 实现万能的爬虫
码匠笔记
跨年之作:谈谈如何进行 Java 系统性能优化
应书澜
MyBatis 枚举全面使用指南
逆流而上/isea533
JDK8 Lambda 表达式&Stream
追梦
亿万级即时通信架构浅谈
横竖撇折点
文件读取、解析、入库,究竟可以多快?
文心紫竹
重构代码之美
哈比
Elasticsearch 索引设计实战指南
铭毅天下
业务系统代码实现服务的并行请求,提高程序的处理性能
白公
有关微服务的简介和经验分享
Yang
微信扫描登录