在电商、金融、证券、保险、游戏、社交、招聘、O2O 等不同行业、不同的业务系统存在的各种类型业务逻辑漏洞进行安全。对于一个互联网公司而言,业务发展的不同阶段,对“业务安全”有着不同的目标和需求。从业务功能角度保障核心业务安全,反机器人爬货、恶意骚扰”的场景中,系统可以识别是机器人在对平台进行浏览货源信息,并进行屏蔽、蜜罐。保障运营活动安全,防止薅羊毛也是一个很重要的需求。从系统架构角度,业务安全系统需要是独立的,可降级的(在线的生产系统部分)系统(优化排序服务、搜索服务、货源服务等)与业务安全系统有着接口调用的耦合度,因此为了保障核心系统可靠,业务安全系统需要集成到统一的RPC管理框架及应用配置管理系统中,以实现统一的熔断、限流及业务/系统开关控制。业务安全系统需要有汇聚“业务安全”相关的各类大数据,围绕大数据存储系统。
0x01 身份认证安全
暴力破解、cookie&session 、加密测试
0x02 业务一致性安全
手机号篡改、邮箱和用户名更改、订蛋id更改、商品编号更改、用户id更改
0x03业务数据篡改
金额数据篡改、商品数据篡改、最大数据限制突破、本地js参数篡改
0x04用户输入合规性
sql注入、xss、fuzz
0x05 密码找回漏洞
正常访问,不同找回方式,记录、分析数据包,定位敏感信息、分析找回机制、修改数据包验证
0x06 验证码突破
暴力破解、时间次数突破、回显测试、绕过测试
0x07业务授权安全
未授权访问、篡改测试
0x08业务流程乱序
顺序执行的缺陷
0x09业务接口调用
恶意注册、短信炸弹、内容编辑
0x10时效绕过测试
时间刷新缺陷、时间范围测试