介绍
企业级安全测试进化史
漏洞类型vs业务场景
基于漏洞类型的安全测试
基于业务场景的安全测试
业务场景测试流程
业务流程梳理及业务风险梳理
根据业务流程划分若干业务场景
确定重点业务场景及业务风险点
基于业务场景,流程,业务风险点执行安全测试
业务场景测试要点
从银行、金融、保险、证券到电商、O2O、游戏、社交、航空等 行业,业务操作越权无处不在。
业务场景测试重点关注对象。
原因都是服务端以客户端传入的参数为依据,没有对session或 会话权限做严格判断造成的。
测试方向:平行权限、垂直权限 部分应用过分依赖数字签名,服务端忽略了对会话权限做判断