以业务最佳实践实施安全测试
业务安全测试,近几年才被重视的测试类型,虽然一直存在于应用程序中,甚至比SQL注入等传统漏洞更早出现,但在几年前,几乎没有甲方公司会要求这方面的测试.时至今日,我仍会遇到甲方的开发人员甚至架构师质疑业务逻辑漏洞的危害.当业务安全测试还不是大多数甲方的刚需时,大多数乙方安全工程师的该项技术也难以完备.测试支付业务就可以根据该业务的最佳实践,重点关注最佳实践已规避的风险,将其转化为测试规则,如变量正负测试、包重放测试、金额篡改测试、签名逻辑测试、签名算法测试。以此方法进行安全测试,是最具针对性的风险排查方法。业务最佳实践不仅是架构师设计的参考,也可以是安全人员测试的参考。安全测试只是企业信息安全体系建设的一个环节,却可以为全局带来更多的收益。
业务安全测试 网络安全 漏洞检测 风险防范
陆柏廷
斗象科技
国内会议
北京
中文
377-386
2016-08-15(万方平台首次上网日期,不代表论文的发表时间)