首页 > 其他分享 >《业务安全实战演练》业务安全测试流程梳理

《业务安全实战演练》业务安全测试流程梳理

时间:2023-12-19 23:46:38浏览次数:39  
标签:是否 业务流程 系统 业务 安全 测试 演练

一、业务安全测试

1、 业务安全测试流程

1.1 测试准备

准备阶段主要包括对业务系统的前期熟悉工作,以了解被测试业务系统的数量、规模和场景等内容。

  针对白盒测试,可以结合相关开发文档去熟悉相关系统的业务。
  针对黑盒测试,可通过实际操作还原业务流程的方式理解业务。

1.2 业务调研​

业务调研阶段主要针对业务系统相关负责人进行访谈调研,了解业务系统的整体情况,包括部署情况、功能模块、业务流程、数据流、业务逻辑以及现有的安全措施等内容。根据以往测试实施经验,在业务调研前可先设计访谈问卷,访谈后可能会随着对客户业务系统具体情况了解的深入而不断调整、更新问卷(黑盒测试此步骤可忽略)。

1.3 业务建模​

针对不同行业、不同平台的业务系统,如电商、银行、金融、证券、保险、游戏、社交、招聘等业务系统,识别出其中的高风险业务场景进行建模。

以电商系统为例:

业务场景建模模型图

1.4 业务流程梳理

建模完成后需要对重要业务场景的各个业务模块逐一进⾏业务流程梳理,从前台和后台、业务和⽀撑系统等4 个不同维度进⾏分析,识别各业务模块的业务逻辑、业务数据流和功能字段(传参点)等。

业务模块的流程梳理主要遵循以下原则:

  1)区分业务主流程和分⽀流程,业务梳理⼯作是围绕主流程进⾏分析的,而主流程一定是核⼼业务流程,业务流程重点梳理的对象⾸先应放在核⼼主流程上,务必梳理出业务关键环节。

  2)概括归纳业务分⽀流程,业务分⽀流程往往存在通⽤点,可将具有业务相似性的分⽀流程归纳成某一类型的业务流程,⽆须单独对其进⾏测试。

  3)识别业务流程数据信息流,特别是业务数据流在交互⽅双⽅之间传输的先后顺序、路径等。

  4)识别业务数据流功能字段,识别数据流中包含的重要程度不等的信息,理解这些字段的含义有助于下阶段⻛险点分析。

下图针对某电商类网站的用户登录功能的业务流程梳理图示例:

1.5 业务风险点识别​

在完成前期不同维度的业务流程梳理⼯作后,针对前台业务应着重关注⽤⼾界⾯操作每一步可能的逻辑⻛险和技术⻛险;针对后台业务应着重关注数据安全、数据流转及处理的⽇志和审计。

 

业务⻛险点识别应主要关注以下安全⻛险内容。

1)业务环节存在的安全⻛险,

  业务环节存在的安全⻛险指的是业务使⽤者可⻅的业务存在的安全⻛险,如注册、登录和密码找回等⾝份认证环节,是否存在完善的验证码机制、数据一致性校验机制、Session 和Cookie 校验机制等,是否能规避验证码绕过、暴⼒破解和SQL 注⼊等漏洞。

​2)⽀持系统存在的安全⻛险,

  ⽀持系统存在的安全⻛险,如⽤⼾访问控制机制是否完善,是否存在⽔平越权或垂直越权漏洞。系统内加密存储机制是否完善,业务数据是否明⽂传输。系统使⽤的业务接口是否可以未授权访问或调⽤,是否可以调⽤重放、遍历,接口调⽤参数是否可篡改等。

​ 3)业务环节间存在的安全⻛险,

  业务环节间存在的安全⻛险,如系统业务流程是否存在乱序,导致某个业务环节可绕过、回退,或某个业务请求可以⽆限重放。业务环节间传输的数据是否有一致性校验机制,是否存在业务数据可被篡改的⻛险。

​ 4)⽀持系统间存在的安全⻛险,

  ⽀持系统间存在的安全⻛险,如系统间数据传输是否加密、系统间传输的参数是否可篡改。系统间输⼊参数的过滤机制是否完善,是否可能导致SQL 注⼊、XSS 跨站脚本和代码执⾏漏洞。

​ 5)业务环节与⽀持系统间存在的安全⻛险,

  业务环节与⽀持系统间存在的⻛险,如数据传输是否加密、加密⽅式是否完善,是否采⽤前端加密、简单MD5 编码等不安全的加密⽅式。系统处理多线程并发请求的机制是否完善,服务端逻辑与数据库读写是否存在时序问题,导致竞争条件漏洞。系统间输⼊参数的过滤机制是否完善。

具体业务风险点识别示例如图

1.6 开展测试

对前期业务流程梳理和识别出的⻛险点,进⾏有针对性的测试。

1.7 撰写报告

针对业务安全测试过程中发现的⻛险结果进⾏评价和建议,综合评价利⽤场景的⻛险程度和造成影响的严重程度,最终完成测试报告的编写

标签:是否,业务流程,系统,业务,安全,测试,演练
From: https://www.cnblogs.com/xfbk/p/17915123.html

相关文章

  • 《业务安全实战演练》业务数据安全测试
    一、业务数据安全测试1、商品支付金额篡改案例1靶场链接地址:Dashboard|WebSecurityAcademy-PortSwigger。使用提供的用户名和密码进行登录wiener:peter登录后查看我们的余额现在是100元 然后回到主页选择夹克进行购买 将夹克先添加到购物车中 然后到购物......
  • springboot019食品安全管理系统(vue)
    1 绪 论1.1课题研究背景及意义1.2研究现状以及发展趋势1.2.1研究现状1.2.2发展趋势1.3研究目标2相关技术介绍2.1SpringBoot介绍Spring的全家桶,我想在Java开发领域大家都知道了吧,那么关于spring的框架,自从我们大学都开始学的,Java语言在基础知识当中不会涉及到框架,但一旦学......
  • 常见线程安全类
    常见线程安全类StringIntegerStringBufferRandomVectorHashtablejava.util.concurrent包下的类这里说它们是线程安全的是指,多个线程调用它们同一个实例的某个方法时,是线程安全的。也可以理解为Hashtabletable=newHashtable();newThread(()->{table.put("key","valu......
  • 不一致的安全策略:在不同系统中实施不一致的安全策略
    **不一致的安全策略:在不同系统中实施不一致的安全策略**随着网络技术和信息化的发展,网络安全问题已经引起了越来越多的关注。为了保障系统安全,各种安全策略应运而生,如数据加密、身份认证、访问控制等。然而,在实际应用中,由于各个系统的需求、技术架构和安全目标存在差异,导致这些策......
  • 羚通视频智能分析平台安防视频检测未带安全帽识别 算法算力检测云平台
    随着科技的不断发展,人工智能技术在各个领域的应用越来越广泛。在安防领域,视频监控系统已经成为了保障人们生命财产安全的重要手段。然而,传统的视频监控系统往往存在诸多问题,如人工监控成本高、实时性差、误报率高等。为了解决这些问题,羚通视频智能分析平台应运而生,通过先进的人工智......
  • 端口错误配置:开放了不应该开放的端口,增加安全风险
    **防火墙策略管理、分析与解决方案:端口错误配置与安全风险****一、引言**在计算机网络安全领域,防火墙是一种重要的防护设备,它可以有效控制进出网络的数据传输,防止未经授权的访问和恶意攻击。然而,如果防火墙的配置不当,可能会造成安全风险。本文将讨论如何通过合理的管理策略和分......
  • 解决“未能创建 SSL/TLS 安全通道”异常
    之前写了一个桌面程序,程序会间歇性访问某个https接口,一直用的好好的,今天突然报错了,异常就发生在访问接口的地方,曰“请求被中止,未能创建 SSL/TLS安全通道。”,另外有台电脑也有跑该程序,也是同样的报错,看来是接口方改动过什么了。搜索一番,原因应该是,接口方变更了安全协议,而客户端......
  • 验证码:防范官网恶意爬虫攻击,保障用户隐私安全
    网站需要采取措施防止非法注册和登录,验证码是有效的防护措施之一。攻击者通常会使用自动化工具批量注册网站账号,以进行垃圾邮件发送、刷量等恶意活动。验证码可以有效阻止这些自动化工具,有效防止恶意程序或人员批量注册和登录网站。恶意程序或人员通常会使用暴力破解等方式尝试登......
  • 业务协同零边界|省级数字政府正式上线!
     近日,由魅视科技深度参与建设的某省数字政府运营指挥中心正式上线运营!该省数字政府以“146N”架构,推动技术融合、业务融合、数据融合,破除跨层级跨地域、跨系统、跨部门、跨业务堵点和壁垒,打造企业和群众办事环节最简、材料最少、时限最短、费用最小、便利度最优、满意度最高的数字......
  • 符号执行manticore工具演练之发现缓冲区溢出漏洞
    符号执行之manticore工具演练参考资料:SANSSEC554https://docs.soliditylang.org/en/v0.8.0/ziion虚拟机:区块链智能合约中的kali(ziion涵盖演练中所以提及到的工具)动静态之分IDA是静态分析工具,常用于检测脆弱性;manticore是动态分析工具,常用于编写漏洞利用(符号执行:即执......