Web攻防之業務安全實戰指南 Web攻防之业务安全实战指南

業務安全漏洞作為常見的Web安全漏洞，在各大漏洞平臺時有報道，本書是一本從原理到案例分析，系統性地介紹這門技術的書籍。撰寫團隊具有10年大型網站業務安全測試經驗，成員們對常見業務安全漏洞進行梳理，總結出了全面、詳細的適用於電商、銀行、金融、證券、保險、游戲、社交、招聘等業務系統的測試理論、工具、方法及案例。本書共15章，包括理論篇、技術篇和實踐篇。理論篇首先介紹從事網絡安全工作涉及的相關法律法規，請大家一定要做一個遵紀守法的白帽子，然後介紹業務安全引發的一些安全問題和業務安全測試相關的方法論，以及怎麽去學好業務安全。技術篇和實踐篇選取的內容都是這些白帽子多年在電商、金融、證券、保險、游戲、社交、招聘、O2O等不同行業、不同的業務系統存在的各種類型業務邏輯漏洞進行安全測試總結而成的，能夠幫助讀者理解不同行業的業務系統涉及的業務安全漏洞的特點。具體來說，技術篇主要介紹登錄認證模塊測試、業務辦理模塊測試、業務授權訪問模塊測試、輸入/輸出模塊測試、回退模塊測試、驗證碼機制測試、業務數據安全測試、業務流程亂序測試、密碼找回模塊測試、業務接口模塊調用測試等內容。實踐篇主要針對技術篇中的測試方法進行相關典型案例的測試總結，包括賬號安全案例總結、密碼找回案例總結、越權訪問案例、OAuth 2.0案例總結、在線支付安全案例總結等。通過對本書的學習，讀者可以很好地掌握業務安全層面的安全測試技術，並且可以協助企業規避業務安全層面的安全風險。本書比較適合作為企業專職安全人員、研發人員、普通高等院校網絡空間安全學科的教學用書和參考書，以及作為網絡安全愛好者的自學用書。