基本信息
- 作者: 陈晓光 胡兵 张作峰
- 出版社:电子工业出版社
- ISBN:9787121335815
- 上架时间:2018-2-26
- 出版日期:2018 年2月
- 开本:16开
- 页码:220
- 版次:1-1
- 所属分类:计算机 > 安全 > 综合
【插图】
编辑推荐
本书得到了诸多专家推荐,严寒冰,徐凯,任望,陈新龙,余弦,白掌门,袁劲松……
企业经营的核心命脉是业务,一切以业务可持续发展为优先安全保障
本书立足于实践,再现了典型业务安全场景,总结了业务安全风险评估的过程和方法
对于业务及开发人员来说本书可以让你的团队开发出的业务更安全、更可靠
本书作者长期从事网络安全漏洞分析的相关工作,经验非常丰富
内容简介
书籍
计算机书籍
业务安全漏洞作为常见的Web安全漏洞,在各大漏洞平台时有报道,《Web攻防之业务安全实战指南》是一本从原理到案例分析,系统性地介绍这门技术的书籍。撰写团队具有10年大型网站业务安全测试经验,成员们对常见业务安全漏洞进行梳理,总结出了全面、详细的适用于电商、银行、金融、证券、保险、游戏、社交、招聘等业务系统的测试理论、工具、方法及案例。
《Web攻防之业务安全实战指南》共15章,包括理论篇、技术篇和实践篇。理论篇首先介绍从事网络安全工作涉及的相关法律法规,请大家一定要做一个遵纪守法的白帽子,然后介绍业务安全引发的一些安全问题和业务安全测试相关的方法论,以及怎么去学好业务安全。技术篇和实践篇选取的内容都是这些白帽子多年在电商、金融、证券、保险、游戏、社交、招聘、O2O等不同行业、不同的业务系统存在的各种类型业务逻辑漏洞进行安全测试总结而成的,能够帮助读者理解不同行业的业务系统涉及的业务安全漏洞的特点。具体来说,技术篇主要介绍登录认证模块测试、业务办理模块测试、业务授权访问模块测试、输入/输出模块测试、回退模块测试、验证码机制测试、业务数据安全测试、业务流程乱序测试、密码找回模块测试、业务接口模块调用测试等内容。实践篇主要针对技术篇中的测试方法进行相关典型案例的测试总结,包括账号安全案例总结、密码找回案例总结、越权访问案例、OAuth 2.0案例总结、在线支付安全案例总结等。
通过对《Web攻防之业务安全实战指南》的学习,读者可以很好地掌握业务安全层面的安全测试技术,并且可以协助企业规避业务安全层面的安全风险。《Web攻防之业务安全实战指南》比较适合作为企业专职安全人员、研发人员、普通高等院校网络空间安全学科的教学用书和参考书,以及作为网络安全爱好者的自学用书。
计算机书籍
业务安全漏洞作为常见的Web安全漏洞,在各大漏洞平台时有报道,《Web攻防之业务安全实战指南》是一本从原理到案例分析,系统性地介绍这门技术的书籍。撰写团队具有10年大型网站业务安全测试经验,成员们对常见业务安全漏洞进行梳理,总结出了全面、详细的适用于电商、银行、金融、证券、保险、游戏、社交、招聘等业务系统的测试理论、工具、方法及案例。
《Web攻防之业务安全实战指南》共15章,包括理论篇、技术篇和实践篇。理论篇首先介绍从事网络安全工作涉及的相关法律法规,请大家一定要做一个遵纪守法的白帽子,然后介绍业务安全引发的一些安全问题和业务安全测试相关的方法论,以及怎么去学好业务安全。技术篇和实践篇选取的内容都是这些白帽子多年在电商、金融、证券、保险、游戏、社交、招聘、O2O等不同行业、不同的业务系统存在的各种类型业务逻辑漏洞进行安全测试总结而成的,能够帮助读者理解不同行业的业务系统涉及的业务安全漏洞的特点。具体来说,技术篇主要介绍登录认证模块测试、业务办理模块测试、业务授权访问模块测试、输入/输出模块测试、回退模块测试、验证码机制测试、业务数据安全测试、业务流程乱序测试、密码找回模块测试、业务接口模块调用测试等内容。实践篇主要针对技术篇中的测试方法进行相关典型案例的测试总结,包括账号安全案例总结、密码找回案例总结、越权访问案例、OAuth 2.0案例总结、在线支付安全案例总结等。
通过对《Web攻防之业务安全实战指南》的学习,读者可以很好地掌握业务安全层面的安全测试技术,并且可以协助企业规避业务安全层面的安全风险。《Web攻防之业务安全实战指南》比较适合作为企业专职安全人员、研发人员、普通高等院校网络空间安全学科的教学用书和参考书,以及作为网络安全爱好者的自学用书。
作译者
陈晓光
恒安嘉新(北京)科技股份公司执行总裁,资深安全专家,毕业于北京邮电大学信息安全专业。长期从事网络与信息安全方面的技术研究、项目管理和市场拓展工作。曾主导和参与多项重大国家标准、国家863 项目和242 安全课题;建设了多个全国性安全系统工程;为电信、金融和政府等多个行业提供安全建议。在安全风险评估、安全管理体系、安全标准、移动互联网安全和通信安全等领域有着丰富的实践经验。拥有CISSP、CISA、ISO27001 LA 等多项国际安全从业资质。
胡兵恒
安嘉新(北京)科技股份公司安全攻防与应急响应中心总经理。负责公司安全产品解决方案、安全攻防技术研究、安全咨询服务等工作。多年来,一直致力于安全攻防技术的研究,曾参与国家信息安全有关部门、各大电信运营商、高校多个课题研究项目。带领安全研究团队支撑"中国反网络病毒联盟平台ANVA"、"国家信息安全漏洞共享平台CNVD"运营工作,以及承担国家重要活动期间的安全保障工作。
张作峰(Rce)
恒安嘉新(北京)科技股份公司安全攻防与应急响应中心副总经理、轩辕攻防实验室团队负责人、安全专家、互联网白帽子,原启明星辰资深安全研究员。十余年网络安全服务、安全研究、应急保障工作经验,在职期间参与完成了多个大型安全服务、集成、安全课题项目,以及多次国家重要活动的网络安全应急保障任务。
恒安嘉新(北京)科技股份公司执行总裁,资深安全专家,毕业于北京邮电大学信息安全专业。长期从事网络与信息安全方面的技术研究、项目管理和市场拓展工作。曾主导和参与多项重大国家标准、国家863 项目和242 安全课题;建设了多个全国性安全系统工程;为电信、金融和政府等多个行业提供安全建议。在安全风险评估、安全管理体系、安全标准、移动互联网安全和通信安全等领域有着丰富的实践经验。拥有CISSP、CISA、ISO27001 LA 等多项国际安全从业资质。
胡兵恒
安嘉新(北京)科技股份公司安全攻防与应急响应中心总经理。负责公司安全产品解决方案、安全攻防技术研究、安全咨询服务等工作。多年来,一直致力于安全攻防技术的研究,曾参与国家信息安全有关部门、各大电信运营商、高校多个课题研究项目。带领安全研究团队支撑"中国反网络病毒联盟平台ANVA"、"国家信息安全漏洞共享平台CNVD"运营工作,以及承担国家重要活动期间的安全保障工作。
张作峰(Rce)
恒安嘉新(北京)科技股份公司安全攻防与应急响应中心副总经理、轩辕攻防实验室团队负责人、安全专家、互联网白帽子,原启明星辰资深安全研究员。十余年网络安全服务、安全研究、应急保障工作经验,在职期间参与完成了多个大型安全服务、集成、安全课题项目,以及多次国家重要活动的网络安全应急保障任务。
目录
理论篇
第1章 网络安全法律法规 2
第2章 业务安全引发的思考 8
2.1 行业安全问题的思考 8
2.2 如何更好地学习业务安全 9
第3章 业务安全测试理论 11
3.1 业务安全测试概述 11
3.2 业务安全测试模型 12
3.3 业务安全测试流程 13
3.4 业务安全测试参考标准 18
3.5 业务安全测试要点 18
技术篇
第4章 登录认证模块测试 22
4.1 暴力破解测试 22
4.1.1 测试原理和方法 22
4.1.2 测试过程 22
4.1.3 修复建议 30
4.2 本地加密传输测试 30
4.2.1 测试原理和方法 30
4.2.2 测试过程 30
第1章 网络安全法律法规 2
第2章 业务安全引发的思考 8
2.1 行业安全问题的思考 8
2.2 如何更好地学习业务安全 9
第3章 业务安全测试理论 11
3.1 业务安全测试概述 11
3.2 业务安全测试模型 12
3.3 业务安全测试流程 13
3.4 业务安全测试参考标准 18
3.5 业务安全测试要点 18
技术篇
第4章 登录认证模块测试 22
4.1 暴力破解测试 22
4.1.1 测试原理和方法 22
4.1.2 测试过程 22
4.1.3 修复建议 30
4.2 本地加密传输测试 30
4.2.1 测试原理和方法 30
4.2.2 测试过程 30
前言
"没有网络安全就没有国家安全"。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。
由于Web 2.0的兴起,基于Web环境的互联网应用越来越广泛,也让Web应用的安全技术日趋成熟。目前互联网上接连爆发的应用安全漏洞,让各大企业的安全人员、运维人员、研发及管理人员都不得不重视这一领域,并为之投入了大量的人力和物力。日渐成熟的防护产品和解决方案,让Web安全防护的整体环境有了很大的提升。互联网上的网站模板,大部分都自带了防SQL注入、跨站脚本等攻击的功能,传统的"工具党"、"小白"已很难再通过简单操作几个按钮就成功完成一次Web入侵。
随着互联网业务的不断发展,互联网上的商务活动也越来越多,所涉及的网络交易也越来越频繁,交易的数额也越来越庞大,引发的安全事件也越来越多。而这些安全事件的攻击者更倾向于利用业务逻辑层的安全漏洞,如互联网上曝光的"1元购买特斯拉"、"微信无限刷红包"、"支付宝熟人可重置登录密码"等业务安全层面的漏洞。基于传统的渗透测试方法很难发现这些业务逻辑层面的问题,这类问题往往又危害巨大,可能造成企业的资产损失和名誉受损,并且传统的安全防御设备和措施对业务安全漏洞防护收效甚微。
业务安全问题在互联网上也时有报道,不算新生事物,但目前缺乏一套体系化的介绍这门技术的书籍。我们通过多年的不同行业的安全服务经验积累了大量的业务安全方面的经验,于是萌生了编写这本书的想法,把我们所有沉淀的业务安全测试经验分享给爱好网络安全事业的白帽子们,让大家一起成长,共同为国家网络安全事业贡献绵薄之力。
本书的撰写者均为轩辕攻防实验室白帽子,这些白帽子具备多年的业务安全测试经验,同时他们在国家信息安全漏洞共享平台(CNVD)报送过很多原创漏洞(2016年轩辕攻防实验室报送原创漏洞排名第二)。这些白帽子平时低调做人、高调做事,听说要编写这本书时,大家群情激奋,热烈响应,牺牲了很多的个人休息时间,经过了近一年的努力才总结完成了全面的、详细的可以适用于不同行业和不同业务系统的业务安全测试理论、工具、方法及案例。在此也感谢所有参与撰写本书的这些默默无闻,不求名、不逐利、默默分享的白帽子。在编写本书的过程中,我们也在互联网上发现了很多关于业务安全方面的经典案例,并选取了几个非常不错且比较典型的案例,经过我们整理总结后分享给各位读者,有的案例原作者已经联系上了,有个别的也无从联系了,在此也对分享这些经典案例且默默在互联网上耕耘和贡献的白帽子表示衷心的感谢和发自内心的致敬。
在内容甄选时,抛开了一些纯理论的内容,书中选取的场景案例多是作者在工作中实际遇到的问题加以改造的,目的是让读者通过对本书的学习,掌握实用的业务安全测试技术,协助企业规避业务安全层面的安全风险。
本书共15章,包括理论篇、技术篇和实践篇。理论篇开篇首先介绍从事网络安全工作涉及的相关法律法规,请大家一定要做一个遵纪守法的白帽子,然后介绍业务安全引发的一些安全问题和业务安全测试相关的方法论及怎么去学好业务安全。技术篇和实践篇选取的内容都是这些白帽子多年在电商、金融、证券、保险、游戏、社交、招聘、O2O等不同行业、不同的业务系统存在的各种类型业务逻辑漏洞进行安全测试总结而成的,能够帮助读者理解不同行业的业务系统涉及的业务安全漏洞的特点。具体来说,技术篇主要介绍登录认证模块测试、业务办理模块测试、业务授权访问模块测试、输入/输出模块测试、回退模块测试、验证码机制测试、业务数据安全测试、业务流程乱序测试、密码找回模块测试、业务接口模块调用测试等内容。实践篇主要针对技术篇中的测试方法进行相关典型案例的测试总结,包括账号安全案例总结、密码找回案例总结、越权访问案例、OAuth 2.0案例总结、在线支付安全案例总结等。
通过对本书的学习读者可以很好地掌握业务安全层面的安全测试技术,并且可以协助企业规避业务安全层面的安全风险。本书比较适合作为企业专职安全人员、研发人员、普通高等院校网络空间安全学科的教学用书和参考书,以及作为网络安全爱好者的自学用书。
由于水平有限,书中难免有不妥之处,加之网络攻防技术纵深宽广,发展迅速,在内容取舍和编排上难免考虑不周全,诚请读者批评指正。
轩辕攻防实验室负责人 张作峰
2018年01月 于北京
由于Web 2.0的兴起,基于Web环境的互联网应用越来越广泛,也让Web应用的安全技术日趋成熟。目前互联网上接连爆发的应用安全漏洞,让各大企业的安全人员、运维人员、研发及管理人员都不得不重视这一领域,并为之投入了大量的人力和物力。日渐成熟的防护产品和解决方案,让Web安全防护的整体环境有了很大的提升。互联网上的网站模板,大部分都自带了防SQL注入、跨站脚本等攻击的功能,传统的"工具党"、"小白"已很难再通过简单操作几个按钮就成功完成一次Web入侵。
随着互联网业务的不断发展,互联网上的商务活动也越来越多,所涉及的网络交易也越来越频繁,交易的数额也越来越庞大,引发的安全事件也越来越多。而这些安全事件的攻击者更倾向于利用业务逻辑层的安全漏洞,如互联网上曝光的"1元购买特斯拉"、"微信无限刷红包"、"支付宝熟人可重置登录密码"等业务安全层面的漏洞。基于传统的渗透测试方法很难发现这些业务逻辑层面的问题,这类问题往往又危害巨大,可能造成企业的资产损失和名誉受损,并且传统的安全防御设备和措施对业务安全漏洞防护收效甚微。
业务安全问题在互联网上也时有报道,不算新生事物,但目前缺乏一套体系化的介绍这门技术的书籍。我们通过多年的不同行业的安全服务经验积累了大量的业务安全方面的经验,于是萌生了编写这本书的想法,把我们所有沉淀的业务安全测试经验分享给爱好网络安全事业的白帽子们,让大家一起成长,共同为国家网络安全事业贡献绵薄之力。
本书的撰写者均为轩辕攻防实验室白帽子,这些白帽子具备多年的业务安全测试经验,同时他们在国家信息安全漏洞共享平台(CNVD)报送过很多原创漏洞(2016年轩辕攻防实验室报送原创漏洞排名第二)。这些白帽子平时低调做人、高调做事,听说要编写这本书时,大家群情激奋,热烈响应,牺牲了很多的个人休息时间,经过了近一年的努力才总结完成了全面的、详细的可以适用于不同行业和不同业务系统的业务安全测试理论、工具、方法及案例。在此也感谢所有参与撰写本书的这些默默无闻,不求名、不逐利、默默分享的白帽子。在编写本书的过程中,我们也在互联网上发现了很多关于业务安全方面的经典案例,并选取了几个非常不错且比较典型的案例,经过我们整理总结后分享给各位读者,有的案例原作者已经联系上了,有个别的也无从联系了,在此也对分享这些经典案例且默默在互联网上耕耘和贡献的白帽子表示衷心的感谢和发自内心的致敬。
在内容甄选时,抛开了一些纯理论的内容,书中选取的场景案例多是作者在工作中实际遇到的问题加以改造的,目的是让读者通过对本书的学习,掌握实用的业务安全测试技术,协助企业规避业务安全层面的安全风险。
本书共15章,包括理论篇、技术篇和实践篇。理论篇开篇首先介绍从事网络安全工作涉及的相关法律法规,请大家一定要做一个遵纪守法的白帽子,然后介绍业务安全引发的一些安全问题和业务安全测试相关的方法论及怎么去学好业务安全。技术篇和实践篇选取的内容都是这些白帽子多年在电商、金融、证券、保险、游戏、社交、招聘、O2O等不同行业、不同的业务系统存在的各种类型业务逻辑漏洞进行安全测试总结而成的,能够帮助读者理解不同行业的业务系统涉及的业务安全漏洞的特点。具体来说,技术篇主要介绍登录认证模块测试、业务办理模块测试、业务授权访问模块测试、输入/输出模块测试、回退模块测试、验证码机制测试、业务数据安全测试、业务流程乱序测试、密码找回模块测试、业务接口模块调用测试等内容。实践篇主要针对技术篇中的测试方法进行相关典型案例的测试总结,包括账号安全案例总结、密码找回案例总结、越权访问案例、OAuth 2.0案例总结、在线支付安全案例总结等。
通过对本书的学习读者可以很好地掌握业务安全层面的安全测试技术,并且可以协助企业规避业务安全层面的安全风险。本书比较适合作为企业专职安全人员、研发人员、普通高等院校网络空间安全学科的教学用书和参考书,以及作为网络安全爱好者的自学用书。
由于水平有限,书中难免有不妥之处,加之网络攻防技术纵深宽广,发展迅速,在内容取舍和编排上难免考虑不周全,诚请读者批评指正。
轩辕攻防实验室负责人 张作峰
2018年01月 于北京
媒体评论
互联网安全问题带来的危害日益严重。本书作者长期从事网络安全漏洞分析的相关工作。全书贴近网络安全实际工作,系统地介绍了业务逻辑安全测试的相关技术。一经阅读,引人入胜。详细阅读本书的读者,一定会获益匪浅。
--国家互联网应急中心运行部主任 严寒冰
随着网络安全的发展,越来越多的人开始关注注入、跨站、上传等Web 安全问题,鲜有专业人士对业务安全做深入的研究和总结,作者结合多年的实战经验详细介绍了从登录到业务流程再到越权访问等各个环节可能存在的业务安全问题,对网站开发人员和安全测试人员来说本书都是一本很好的教材。
--公安部第三研究所主任 徐凯
近年来,业务安全日益成为网络安全的重要风险来源,业务安全也受到广泛关注,但其安全风险的测试与评估方法一直比较欠缺。本书立足于实践,再现了典型业务安全场景,总结了业务安全风险评估的过程和方法,推荐具有一定安全基础的人员阅读,同时也适合信息系统运营者参阅。
--中国信息安全测评中心系统评估处 任望
企业经营的核心命脉是业务,一切以业务可持续发展为优先安全保障,基于业务做安全一直也都是安全专家的核心竞争力,此书清晰地阐述了做业务安全所需要的战略、战法,读起来通俗易懂,可操作性强,值得拥有。
--威客安全董事长兼CEO 陈新龙
这本书以业务安全测试为出发点,由浅入深实践了业务各环节的安全攻防。对于安全攻防人员来说是一本很值得参考的书籍;对于业务及开发人员来说这本书里的实践可以让你的团队开发出的业务更安全、更可靠。
--Joinsec 创始人 余弦
非常实用的一本书,堪称网络安全技术人员的宝典!该书详细介绍了各种类型的互联网业务漏洞如何复现和利用,给出了翔实有效的修复建议,同时又结合了大量实际案例,很有借鉴与启发意义。
--补天漏洞响应平台 白掌门
攻防之战永不停歇,在与黑色产业的对抗中,安全从业者需要不断学习新的知识和技能,本书介绍的业务安全知识正好补充了传统安全的缺失部分。
--漏洞盒子创始人 袁劲松
--国家互联网应急中心运行部主任 严寒冰
随着网络安全的发展,越来越多的人开始关注注入、跨站、上传等Web 安全问题,鲜有专业人士对业务安全做深入的研究和总结,作者结合多年的实战经验详细介绍了从登录到业务流程再到越权访问等各个环节可能存在的业务安全问题,对网站开发人员和安全测试人员来说本书都是一本很好的教材。
--公安部第三研究所主任 徐凯
近年来,业务安全日益成为网络安全的重要风险来源,业务安全也受到广泛关注,但其安全风险的测试与评估方法一直比较欠缺。本书立足于实践,再现了典型业务安全场景,总结了业务安全风险评估的过程和方法,推荐具有一定安全基础的人员阅读,同时也适合信息系统运营者参阅。
--中国信息安全测评中心系统评估处 任望
企业经营的核心命脉是业务,一切以业务可持续发展为优先安全保障,基于业务做安全一直也都是安全专家的核心竞争力,此书清晰地阐述了做业务安全所需要的战略、战法,读起来通俗易懂,可操作性强,值得拥有。
--威客安全董事长兼CEO 陈新龙
这本书以业务安全测试为出发点,由浅入深实践了业务各环节的安全攻防。对于安全攻防人员来说是一本很值得参考的书籍;对于业务及开发人员来说这本书里的实践可以让你的团队开发出的业务更安全、更可靠。
--Joinsec 创始人 余弦
非常实用的一本书,堪称网络安全技术人员的宝典!该书详细介绍了各种类型的互联网业务漏洞如何复现和利用,给出了翔实有效的修复建议,同时又结合了大量实际案例,很有借鉴与启发意义。
--补天漏洞响应平台 白掌门
攻防之战永不停歇,在与黑色产业的对抗中,安全从业者需要不断学习新的知识和技能,本书介绍的业务安全知识正好补充了传统安全的缺失部分。
--漏洞盒子创始人 袁劲松
书摘
3.3 业务安全测试流程
业务安全测试流程总体上分为七个阶段,前期工作主要以测试准备和业务调研为主,通过收集并参考业务系统相关设计文档和实际操作,与相关开发人员沟通、调研等方式熟悉了解被测系统业务内容和流程,然后在前期工作的基础上,根据业务类型进行业务场景建模,并把重要业务系统功能拆分成待测试的业务模块,进而对重要业务功能的各个业务模块进行业务流程梳理,之后对梳理后的业务关键点进行风险识别工作,这也是业务测试安全最重要的关键环节,最终根据风险点设计相应的测试用例,开展测试工作并最终输出测试报告。具体业务安全测试流程如图3-2所示。
流程一:测试准备
准备阶段主要包括对业务系统的前期熟悉工作,以了解被测试业务系统的数量、规模和场景等内容。针对白盒性质的测试,可以结合相关开发文档去熟悉相关系统业务;针对黑盒测试,可通过实际操作还原业务流程的方式理解业务。
流程二:业务调研
业务调研阶段主要针对业务系统相关负责人进行访谈调研,了解业务系统的整体情况,包括部署情况、功能模块、业务流程、数据流、业务逻辑以及现有的安全措施等内容。根据以往测试实施经验,在业务调研前可先设计访谈问卷,访谈后可能会随着对客户业务系统具体情况了解的深入而不断调整、更新问卷(黑盒测试此步骤可忽略)。
流程三:业务场景建模
针对不同行业、不同平台的业务系统,如电商、银行、金融、证券、保险、游戏、社交、招聘等业务系统,识别出其中的高风险业务场景进行建模。以电商系统为例,如图3-3所示为业务场景建模模型图。
流程四:业务流程梳理
建模完成后需要对重要业务场景的各个业务模块逐一进行业务流程梳理,从前台和后台、业务和支撑系统等4个不同维度进行分析,识别各业务模块的业务逻辑、业务数据流和功能字段等。
业务模块的流程梳理主要遵循以下原则:
√ 区分业务主流程和分支流程,业务梳理工作是围绕主流程进行分析的,而主流程一定是核心业务流程,业务流程重点梳理的对象首先应放在核心主流程上,务必梳理出业务关键环节;
√ 概括归纳业务分支流程,业务分支流程往往存在通用点,可将具有业务相似性的分支流程归纳成某一类型的业务流程,无须单独对其进行测试;
√ 识别业务流程数据信息流,特别是业务数据流在交互方双方之间传输的先后顺序、路径等;
√ 识别业务数据流功能字段,识别数据流中包含的重要程度不等的信息,理解这些字段的含义有助于下阶段风险点分析。
如图3-4所示是针对某电商类网站的用户登录功能的业务流程梳理图。
通过业务流程的各个阶段梳理出业务流程各个关键环节点,如图3-5所示。
流程五:业务风险点识别
在完成前期不同维度的业务流程梳理工作后,针对前台业务应着重关注用户界面操作每一步可能的逻辑风险和技术风险;针对后台业务应着重关注数据安全、数据流转及处理的日志和审计。
业务风险点识别应主要关注以下安全风险内容。
业务安全测试流程总体上分为七个阶段,前期工作主要以测试准备和业务调研为主,通过收集并参考业务系统相关设计文档和实际操作,与相关开发人员沟通、调研等方式熟悉了解被测系统业务内容和流程,然后在前期工作的基础上,根据业务类型进行业务场景建模,并把重要业务系统功能拆分成待测试的业务模块,进而对重要业务功能的各个业务模块进行业务流程梳理,之后对梳理后的业务关键点进行风险识别工作,这也是业务测试安全最重要的关键环节,最终根据风险点设计相应的测试用例,开展测试工作并最终输出测试报告。具体业务安全测试流程如图3-2所示。
流程一:测试准备
准备阶段主要包括对业务系统的前期熟悉工作,以了解被测试业务系统的数量、规模和场景等内容。针对白盒性质的测试,可以结合相关开发文档去熟悉相关系统业务;针对黑盒测试,可通过实际操作还原业务流程的方式理解业务。
流程二:业务调研
业务调研阶段主要针对业务系统相关负责人进行访谈调研,了解业务系统的整体情况,包括部署情况、功能模块、业务流程、数据流、业务逻辑以及现有的安全措施等内容。根据以往测试实施经验,在业务调研前可先设计访谈问卷,访谈后可能会随着对客户业务系统具体情况了解的深入而不断调整、更新问卷(黑盒测试此步骤可忽略)。
流程三:业务场景建模
针对不同行业、不同平台的业务系统,如电商、银行、金融、证券、保险、游戏、社交、招聘等业务系统,识别出其中的高风险业务场景进行建模。以电商系统为例,如图3-3所示为业务场景建模模型图。
流程四:业务流程梳理
建模完成后需要对重要业务场景的各个业务模块逐一进行业务流程梳理,从前台和后台、业务和支撑系统等4个不同维度进行分析,识别各业务模块的业务逻辑、业务数据流和功能字段等。
业务模块的流程梳理主要遵循以下原则:
√ 区分业务主流程和分支流程,业务梳理工作是围绕主流程进行分析的,而主流程一定是核心业务流程,业务流程重点梳理的对象首先应放在核心主流程上,务必梳理出业务关键环节;
√ 概括归纳业务分支流程,业务分支流程往往存在通用点,可将具有业务相似性的分支流程归纳成某一类型的业务流程,无须单独对其进行测试;
√ 识别业务流程数据信息流,特别是业务数据流在交互方双方之间传输的先后顺序、路径等;
√ 识别业务数据流功能字段,识别数据流中包含的重要程度不等的信息,理解这些字段的含义有助于下阶段风险点分析。
如图3-4所示是针对某电商类网站的用户登录功能的业务流程梳理图。
通过业务流程的各个阶段梳理出业务流程各个关键环节点,如图3-5所示。
流程五:业务风险点识别
在完成前期不同维度的业务流程梳理工作后,针对前台业务应着重关注用户界面操作每一步可能的逻辑风险和技术风险;针对后台业务应着重关注数据安全、数据流转及处理的日志和审计。
业务风险点识别应主要关注以下安全风险内容。
