介绍 企业级安全测试进化史 漏洞类型vs业务场景 基于漏洞类型的安全测试 基于业务场景的安全测试 业务场景测试流程 业务流程梳理及业务风险梳理 根据业务流程划分若干业务场景 确定重点业务场景及业务风险点 基于业务场景,流程,业务风险点执行安全测试 业务场景测试要点 从银行、金融、保险、证券到电商、O2O、游戏、社交、航空等 行业,业务操作越权无处不在。 业务场景测试重点关注对象。 ?原因都是服务端以客户端传入的参数为依据,没有对session或 会话权限做严格判断造成的。 ?测试方向:平行权限、垂直权限 ?部分应用过分依赖数字签名,服务端忽略了对会话权限做判断
