Web 安全中的业务安全战争

作者/分享人:肖志华
向 Ta 提问
信息安全的小朋友,现求个渗透测试岗位的搬砖工作。联系邮箱:Web@secus.org

业务安全区域比较突出的行业有银行、保险、医疗、招聘等行业网站,因为涉及到大量的个人信息和金额交易,已经沦为黑客的主要攻击目标。

因为业务逻辑漏洞主要是程序设计流程的缺陷导致的风险问题。比如登录验证绕过、0 元订单修改 、接口恶意调用,越权访问等问题。常规的渗透测试往往都是测试不出来的,需要人工进行高级的渗透测试。

本次 Chat,将围绕业务场景中的安全问题进行较详细介绍和测试方法。包含:

  1. 业务授权与越权测试;
  2. 商品支付金额篡改测试;
  3. 验证码暴力破解测试;
  4. 密码找回测试;
  5. 接口调用测试。

不限于以上内容,都是在业务场景中的问题,结合实际漏洞进行分析。

已有202人预订
预订达标
文章出炉
     
18.12.28
01月11日
本场 Chat 文章已出炉,购买后即可阅读文章并获得一张肖志华的读者圈Pass
请务必添加GitChat服务号以查看活动进度及获取活动通知。
查看文章评论/提问
luo
比较详实的文章,对业务类的安全做了初步介绍。建议文章对业务面对的威胁分类再体系化一些,可能会更好。 手动👍
你可能还喜欢
高并发、低 RT 的风控系统架构及技术架构的实现
火币集团研发中心
全栈开发入门实战:后台管理系统
鲁鹏
程序员副业赚钱的 8 种模式
安晓辉
每一个开发人员都应该懂的 UML 规范
码匠笔记
“花式吊打”系列之逻辑回归讲透透
天马行空
带你全面了解高级 Java 面试中需要掌握的 JVM 知识点
当年明月
微信扫描登录
关注提示×
扫码关注公众号,获得 Chat 最新进展通知!
添加小助手微信×