Web攻防之業務安全實戰指南 pdf epub mobi txt 電子書下載 2025

簡體網頁||繁體網頁

☆☆☆☆☆

陳曉光鬍兵張作峰等著

圖書標籤:

Web安全
業務安全
滲透測試
漏洞分析
安全實戰
攻防技術
Web攻防
應用安全
安全開發
威脅情報

下載連結在頁面底部

facebook linkedin mastodon messenger pinterest reddit telegram twitter viber vkontakte whatsapp 複製連結

想要找書就要到新城書站

book.cndgn.com

立刻按 ctrl+D收藏本頁

你會得到大驚喜!!

齣版社：電子工業齣版社

ISBN：9787121335815

版次：1

商品編碼：12306251

包裝：平裝

開本：16開

齣版時間：2018-03-01

用紙：膠版紙

頁數：220

字數：280000

正文語種：中文

具體描述

産品特色

編輯推薦

適讀人群：本書比較適閤作為企業專職安全人員、研發人員、普通高等院校網絡空間安全學科的教學用書和參考書，以及作為網絡安全愛好者的自學用書。

★ 本書得到瞭諸多專傢推薦，嚴寒冰，徐凱，任望，陳新龍，餘弦，白掌門，袁勁鬆……

★ 企業經營的核心命脈是業務，一切以業務可持續發展為優先安全保障

★ 本書立足於實踐，再現瞭典型業務安全場景，總結瞭業務安全風險評估的過程和方法

★ 對於業務及開發人員來說本書可以讓你的團隊開發齣的業務更安全、更可靠

★ 本書作者長期從事網絡安全漏洞分析的相關工作，經驗非常豐富

內容簡介

★業務安全漏洞作為常見的Web安全漏洞，在各大漏洞平颱時有報道，本書是一本從原理到案例分析，係統性地介紹這門技術的書籍。撰寫團隊具有10年大型網站業務安全測試經驗，成員們對常見業務安全漏洞進行梳理，總結齣瞭全麵、詳細的適用於電商、銀行、金融、證券、保險、遊戲、社交、招聘等業務係統的測試理論、工具、方法及案例。

★本書共15章，包括理論篇、技術篇和實踐篇。理論篇首先介紹從事網絡安全工作涉及的相關法律法規，請大傢一定要做一個遵紀守法的白帽子，然後介紹業務安全引發的一些安全問題和業務安全測試相關的方法論，以及怎麼去學好業務安全。技術篇和實踐篇選取的內容都是這些白帽子多年在電商、金融、證券、保險、遊戲、社交、招聘、O2O等不同行業、不同的業務係統存在的各種類型業務邏輯漏洞進行安全測試總結而成的，能夠幫助讀者理解不同行業的業務係統涉及的業務安全漏洞的特點。具體來說，技術篇主要介紹登錄認證模塊測試、業務辦理模塊測試、業務授權訪問模塊測試、輸入/輸齣模塊測試、迴退模塊測試、驗證碼機製測試、業務數據安全測試、業務流程亂序測試、密碼找迴模塊測試、業務接口模塊調用測試等內容。實踐篇主要針對技術篇中的測試方法進行相關典型案例的測試總結，包括賬號安全案例總結、密碼找迴案例總結、越權訪問案例、OAuth 2.0案例總結、在綫支付安全案例總結等。

★通過對本書的學習，讀者可以很好地掌握業務安全層麵的安全測試技術，並且可以協助企業規避業務安全層麵的安全風險。本書比較適閤作為企業專職安全人員、研發人員、普通高等院校網絡空間安全學科的教學用書和參考書，以及作為網絡安全愛好者的自學用書。

作者簡介

★陳曉光，恒安嘉新（北京）科技股份公司執行總裁，資深安全專傢，畢業於北京郵電大學信息安全專業。長期從事網絡與信息安全方麵的技術研究、項目管理和市場拓展工作。曾主導和參與多項重大國傢標準、國傢863 項目和242 安全課題；建設瞭多個全國性安全係統工程；為電信、金融和政府等多個行業提供安全建議。在安全風險評估、安全管理體係、安全標準、移動互聯網安全和通信安全等領域有著豐富的實踐經驗。擁有CISSP、CISA、ISO27001 LA 等多項國際安全從業資質。

★鬍兵，恒安嘉新（北京）科技股份公司安全攻防與應急響應中心總經理。負責公司安全産品解決方案、安全攻防技術研究、安全谘詢服務等工作。多年來，一直緻力於安全攻防技術的研究，曾參與國傢信息安全有關部門、各大電信運營商、高校多個課題研究項目。帶領安全研究團隊支撐“中國反網絡病毒聯盟平颱ANVA”、“國傢信息安全漏洞共享平颱CNVD”運營工作，以及承擔國傢重要活動期間的安全保障工作。

★張作峰（Rce），恒安嘉新（北京）科技股份公司安全攻防與應急響應中心副總經理、軒轅攻防實驗室團隊負責人、安全專傢、互聯網白帽子，原啓明星辰資深安全研究員。十餘年網絡安全服務、安全研究、應急保障工作經驗，在職期間參與完成瞭多個大型安全服務、集成、安全課題項目，以及多次國傢重要活動的網絡安全應急保障任務。

精彩書評

★互聯網安全問題帶來的危害日益嚴重。本書作者長期從事網絡安全漏洞分析的相關工作。全書貼近網絡安全實際工作，係統地介紹瞭業務邏輯安全測試的相關技術。一經閱讀，引人入勝。詳細閱讀本書的讀者，一定會獲益匪淺。

——國傢互聯網應急中心運行部主任嚴寒冰

★隨著網絡安全的發展，越來越多的人開始關注注入、跨站、上傳等Web 安全問題，鮮有專業人士對業務安全做深入的研究和總結，作者結閤多年的實戰經驗詳細介紹瞭從登錄到業務流程再到越權訪問等各個環節可能存在的業務安全問題，對網站開發人員和安全測試人員來說本書都是一本很好的教材。

——公安部第三研究所主任徐凱

★近年來，業務安全日益成為網絡安全的重要風險來源，業務安全也受到廣泛關注，但其安全風險的測試與評估方法一直比較欠缺。本書立足於實踐，再現瞭典型業務安全場景，總結瞭業務安全風險評估的過程和方法，推薦具有一定安全基礎的人員閱讀，同時也適閤信息係統運營者參閱。

——中國信息安全測評中心係統評估處任望

★企業經營的核心命脈是業務，一切以業務可持續發展為優先安全保障，基於業務做安全一直也都是安全專傢的核心競爭力，此書清晰地闡述瞭做業務安全所需要的戰略、戰法，讀起來通俗易懂，可操作性強，值得擁有。

——威客安全董事長兼CEO 陳新龍

★這本書以業務安全測試為齣發點，由淺入深實踐瞭業務各環節的安全攻防。對於安全攻防人員來說是一本很值得參考的書籍；對於業務及開發人員來說這本書裏的實踐可以讓你的團隊開發齣的業務更安全、更可靠。

——Joinsec 創始人餘弦

★非常實用的一本書，堪稱網絡安全技術人員的寶典！該書詳細介紹瞭各種類型的互聯網業務漏洞如何復現和利用，給齣瞭翔實有效的修復建議，同時又結閤瞭大量實際案例，很有藉鑒與啓發意義。

——補天漏洞響應平颱白掌門

★攻防之戰永不停歇，在與黑色産業的對抗中，安全從業者需要不斷學習新的知識和技能，本書介紹的業務安全知識正好補充瞭傳統安全的缺失部分。

——漏洞盒子創始人袁勁鬆

★理論篇
第1章網絡安全法律法規 2
第2章業務安全引發的思考 8
2．1 行業安全問題的思考 8
2．2 如何更好地學習業務安全 9
第3章業務安全測試理論 11
3．1 業務安全測試概述 11
3．2 業務安全測試模型 12
3．3 業務安全測試流程 13
3．4 業務安全測試參考標準 18
3．5 業務安全測試要點 18
★技術篇
第4章登錄認證模塊測試 22
4．1 暴力破解測試 22
4．1．1 測試原理和方法 22
4．1．2 測試過程 22
4．1．3 修復建議 30
4．2 本地加密傳輸測試 30
4．2．1 測試原理和方法 30
4．2．2 測試過程 30
4．2．3 修復建議 32
4．3 Session測試 32
4．3．1 Session會話固定測試 32
4．3．2 Seesion會話注銷測試 35
4．3．3 Seesion會話超時時間測試 39
4．4 Cookie仿冒測試 42
4．4．1 測試原理和方法 42
4．4．2 測試過程 42
4．4．3 修復建議 45
4．5 密文比對認證測試 45
4．5．1 測試原理和方法 45
4．5．2 測試過程 45
4．5．3 修復建議 48
4．6 登錄失敗信息測試 48
4．6．1 測試原理和方法 48
4．6．2 測試過程 49
4．6．3 修復建議 50
第5章業務辦理模塊測試 51
5．1 訂單ID篡改測試 51
5．1．1 測試原理和方法 51
5．1．2 測試過程 51
5．1．3 修復建議 55
5．2 手機號碼篡改測試 55
5．2．1 測試原理和方法 55
5．2．2 測試過程 56
5．2．3 修復建議 57
5．3 用戶ID篡改測試 58
5．3．1 測試原理和方法 58
5．3．2 測試過程 58
5．3．3 修復建議 60
5．4 郵箱和用戶篡改測試 60
5．4．1 測試原理和方法 60
5．4．2 測試過程 61
5．4．3 修復建議 62
5．5 商品編號篡改測試 63
5．5．1 測試原理和方法 63
5．5．2 測試過程 63
5．5．3 修復建議 65
5．6 競爭條件測試 66
5．6．1 測試原理和方法 66
5．6．2 測試過程 67
5．6．3 修復建議 69
第6章業務授權訪問模塊 70
6．1 非授權訪問測試 70
6．1．1 測試原理和方法 70
6．1．2 測試過程 70
6．1．3 修復建議 71
6．2 越權測試 72
6．2．1 測試原理和方法 72
6．2．2 測試過程 72
6．2．3 修復建議 76
第7章輸入/輸齣模塊測試 77
7．1 SQL注入測試 77
7．1．1 測試原理和方法 77
7．1．2 測試過程 78
7．1．3 修復建議 84
7．2 XSS測試 84
7．2．1 測試原理和方法 84
7．2．2 測試過程 85
7．2．3 修復建議 88
7．3 命令執行測試 89
7．3．1 測試原理和方法 89
7．3．2 測試過程 89
7．3．3 修復建議 91
第8章迴退模塊測試 92
8．1 迴退測試 92
8．1．1 測試原理和方法 92
8．1．2 測試過程 92
8．1．3 修復建議 93
第9章驗證碼機製測試 94
9．1 驗證碼暴力破解測試 94
9．1．1 測試原理和方法 94
9．1．2 測試過程 94
9．1．3 修復建議 97
9．2 驗證碼重復使用測試 97
9．2．1 測試原理和方法 97
9．2．2 測試過程 98
9．2．3 修復建議 100
9．3 驗證碼客戶端迴顯測試 101
9．3．1 測試原理和方法 101
9．3．2 測試過程 101
9．3．3 修復建議 104
9．4 驗證碼繞過測試 104
9．4．1 測試原理和方法 104
9．4．2 測試過程 104
9．4．3 修復建議 106
9．5 驗證碼自動識彆測試 106
9．5．1 測試原理和方法 106
9．5．2 測試過程 107
9．5．3 修復建議 111
第10章業務數據安全測試 112
10．1 商品支付金額篡改測試 112
10．1．1 測試原理和方法 112
10．1．2 測試過程 112
10．1．3 修復建議 115
10．2 商品訂購數量篡改測試 115
10．2．1 測試原理和方法 115
10．2．2 測試過程 115
10．2．3 修復建議 120
10．3 前端JS限製繞過測試 121
10．3．1 測試原理和方法 121
10．3．2 測試過程 121
10．3．3 修復建議 123
10．4 請求重放測試 123
10．4．1 測試原理和方法 123
10．4．2 測試過程 123
10．4．3 修復建議 125
10．5 業務上限測試 126
10．5．1 測試原理和方法 126
10．5．2 測試過程 126
10．5．3 修復建議 128
第11章業務流程亂序測試 129
11．1 業務流程繞過測試 129
11．1．1 測試原理和方法 129
11．1．2 測試過程 129
11．1．3 修復建議 133
第12章密碼找迴模塊測試 134
12．1 驗證碼客戶端迴顯測試 134
12．1．1 測試原理和方法 134
12．1．2 測試流程 134
12．1．3 修復建議 137
12．2 驗證碼暴力破解測試 137
12．2．1 測試原理和方法 137
12．2．2 測試流程 137
12．2．3 修復建議 140
12．3 接口參數賬號修改測試 140
12．3．1 測試原理和方法 140
12．3．2 測試流程 141
12．3．3 修復建議 144
12．4 Response狀態值修改測試 144
12．4．1 測試原理和方法 144
12．4．2 測試流程 144
12．4．3 修復建議 147
12．5 Session覆蓋測試 147
12．5．1 測試原理和方法 147
12．5．2 測試流程 148
12．5．3 修復建議 150
12．6 弱Token設計缺陷測試 150
12．6．1 測試原理和方法 150
12．6．2 測試流程 151
12．6．3 修復建議 153
12．7 密碼找迴流程繞過測試 153
12．7．1 測試原理和方法 153
12．7．2 測試流程 154
12．7．3 修復建議 157
第13章業務接口調用模塊測試 158
13．1 接口調用重放測試 158
13．1．1 測試原理和方法 158
13．1．2 測試過程 158
13．1．3 修復建議 160
13．2 接口調用遍曆測試 160
13．2．1 測試原理和方法 160
13．2．2 測試過程 161
13．2．3 修復建議 166
13．3 接口調用參數篡改測試 167
13．3．1 測試原理和方法 167
13．3．2 測試過程 167
13．3．3 修復建議 169
13．4 接口未授權訪問/調用測試 169
13．4．1 測試原理和方法 169
13．4．2 測試過程 170
13．4．3 修復建議 172
13．5 Callback自定義測試 172
13．5．1 測試原理和方法 172
13．5．2 測試過程 173
13．5．3 修復建議 177
13．6 WebService測試 177
13．6．1 測試原理和方法 177
13．6．2 測試過程 177
13．6．3 修復建議 184
★實踐篇
第14章賬號安全案例總結 186
14．1 賬號安全歸納 186
14．2 賬號安全相關案例 187
14．1．1 賬號密碼直接暴露在互聯網上 187
14．1．2 無限製登錄任意賬號 189
14．1．3 電子郵件賬號泄露事件 192
14．1．4 中間人攻擊 195
14．1．5 撞庫攻擊 197
14．3 防範賬號泄露的相關手段 199
第15章密碼找迴安全案例總結 200
15．1 密碼找迴憑證可被暴力破解 200
15．1．1 某社交軟件任意密碼修改案例 201
15．2 密碼找迴憑證直接返迴給客戶端 203
15．2．1 密碼找迴憑證暴露在請求鏈接中 204
15．2．2 加密驗證字符串返迴給客戶端 205
15．2．3 網頁源代碼中隱藏著密保答案 206
15．2．4 短信驗證碼返迴給客戶端 207
15．3 密碼重置鏈接存在弱Token 209
15．3．1 使用時間戳的md5作為密碼重置Token 209
15．3．2 使用服務器時間作為密碼重置Token 210
15．4 密碼重置憑證與用戶賬戶關聯不嚴 211
15．4．1 使用短信驗證碼找迴密碼 212
15．4．2 使用郵箱Token找迴密碼 213
15．5 重新綁定用戶手機或郵箱 213
15．5．1 重新綁定用戶手機 214
15．5．2 重新綁定用戶郵箱 215
15．6 服務端驗證邏輯缺陷 216
15．6．1 刪除參數繞過驗證 217
15．6．2 郵箱地址可被操控 218
15．6．3 身份驗證步驟可被繞過 219
15．7 在本地驗證服務端的返迴信息――修改返迴包繞過驗證 221
15．8 注冊覆蓋――已存在用戶可被重復注冊 222
15．9 Session覆蓋――某電商網站可通過Session覆蓋方式重置他人密碼 223
15．10 防範密碼找迴漏洞的相關手段 225
第16章越權訪問安全案例總結 227
16．1 平行越權 227
16．1．1 某高校教務係統用戶可越權查看其他用戶個人信息 227
16．1．2 某電商網站用戶可越權查看或修改其他用戶信息 229
16．1．3 某手機APP普通用戶可越權查看其他用戶個人信息 232
16．2 縱嚮越權 233
16．2．1 某辦公係統普通用戶權限越權提升為係統權限 233
16．2．2 某中學網站管理後颱可越權添加管理員賬號 235
16．2．3 某智能機頂盒低權限用戶可越權修改超級管理員配置信息 240
16．2．4 某Web防火牆通過修改用戶對應菜單類彆可提升權限 244
16．3 防範越權訪問漏洞的相關手段 247
第17章 OAuth 2．0安全案例總結 248
17．1 OAuth 2．0認證原理 248
17．2 OAuth 2．0漏洞總結 250
17．2．1 某社交網站CSRF漏洞導緻綁定劫持 250
17．2．2 某社區劫持授權 251
17．3 防範OAuth 2．0漏洞的相關手段 253
第18章在綫支付安全案例總結 254
18．1 某快餐連鎖店官網訂單金額篡改 254
18．2 某網上商城訂單數量篡改 256
18．3 某服務器供應商平颱訂單請求重放測試 257
18．4 某培訓機構官網訂單其他參數乾擾測試 259
18．5 防範在綫支付漏洞的相關手段 261

精彩書摘

3.3 業務安全測試流程

業務安全測試流程總體上分為七個階段，前期工作主要以測試準備和業務調研為主，通過收集並參考業務係統相關設計文檔和實際操作，與相關開發人員溝通、調研等方式熟悉瞭解被測係統業務內容和流程，然後在前期工作的基礎上，根據業務類型進行業務場景建模，並把重要業務係統功能拆分成待測試的業務模塊，進而對重要業務功能的各個業務模塊進行業務流程梳理，之後對梳理後的業務關鍵點進行風險識彆工作，這也是業務測試安全最重要的關鍵環節，最終根據風險點設計相應的測試用例，開展測試工作並最終輸齣測試報告。具體業務安全測試流程如圖3-2所示。

流程一：測試準備

準備階段主要包括對業務係統的前期熟悉工作，以瞭解被測試業務係統的數量、規模和場景等內容。針對白盒性質的測試，可以結閤相關開發文檔去熟悉相關係統業務；針對黑盒測試，可通過實際操作還原業務流程的方式理解業務。

流程二：業務調研

業務調研階段主要針對業務係統相關負責人進行訪談調研，瞭解業務係統的整體情況，包括部署情況、功能模塊、業務流程、數據流、業務邏輯以及現有的安全措施等內容。根據以往測試實施經驗，在業務調研前可先設計訪談問捲，訪談後可能會隨著對客戶業務係統具體情況瞭解的深入而不斷調整、更新問捲（黑盒測試此步驟可忽略）。

流程三：業務場景建模

針對不同行業、不同平颱的業務係統，如電商、銀行、金融、證券、保險、遊戲、社交、招聘等業務係統，識彆齣其中的高風險業務場景進行建模。以電商係統為例，如圖3-3所示為業務場景建模模型圖。

流程四：業務流程梳理

建模完成後需要對重要業務場景的各個業務模塊逐一進行業務流程梳理，從前颱和後颱、業務和支撐係統等4個不同維度進行分析，識彆各業務模塊的業務邏輯、業務數據流和功能字段等。

業務模塊的流程梳理主要遵循以下原則：

√ 區分業務主流程和分支流程，業務梳理工作是圍繞主流程進行分析的，而主流程一定是核心業務流程，業務流程重點梳理的對象首先應放在核心主流程上，務必梳理齣業務關鍵環節；

√ 概括歸納業務分支流程，業務分支流程往往存在通用點，可將具有業務相似性的分支流程歸納成某一類型的業務流程，無須單獨對其進行測試；

√ 識彆業務流程數據信息流，特彆是業務數據流在交互方雙方之間傳輸的先後順序、路徑等；

√ 識彆業務數據流功能字段，識彆數據流中包含的重要程度不等的信息，理解這些字段的含義有助於下階段風險點分析。

如圖3-4所示是針對某電商類網站的用戶登錄功能的業務流程梳理圖。

通過業務流程的各個階段梳理齣業務流程各個關鍵環節點，如圖3-5所示。

流程五：業務風險點識彆

在完成前期不同維度的業務流程梳理工作後，針對前颱業務應著重關注用戶界麵操作每一步可能的邏輯風險和技術風險；針對後颱業務應著重關注數據安全、數據流轉及處理的日誌和審計。

業務風險點識彆應主要關注以下安全風險內容。

（1）業務環節存在的安全風險

業務環節存在的安全風險指的是業務使用者可見的業務存在的安全風險，如注冊、登錄和密碼找迴等身份認證環節，是否存在完善的驗證碼機製、數據一緻性校驗機製、Session和Cookie校驗機製等，是否能規避驗證碼繞過、暴利破解和SQL注入等漏洞。

（2）支持係統存在的安全風險

支持係統存在的安全風險，如用戶訪問控製機製是否完善，是否存在水平越權或垂直越權漏洞。係統內加密存儲機製是否完善，業務數據是否明文傳輸。係統使用的業務接口是否可以未授權訪問/調用，是否可以調用重放、遍曆，接口調用參數是否可篡改等。

（3）業務環節間存在的安全風險

業務環節間存在的安全風險，如係統業務流程是否存在亂序，導緻某個業務環節可繞過、迴退，或某個業務請求可以無限重放。業務環節間傳輸的數據是否有一緻性校驗機製，是否存在業務數據可被篡改的風險。

（4）支持係統間存在的安全風險

支持係統間存在的安全風險，如係統間數據傳輸是否加密、係統間傳輸的參數是否可篡改。係統間輸入參數的過濾機製是否完善，是否可能導緻SQL注入、XSS跨站腳本和代碼執行漏洞。

（5）業務環節與支持係統間存在的安全風險

業務環節與支持係統間存在的風險，如數據傳輸是否加密、加密方式是否完善，是否采用前端加密、簡單MD5編碼等不安全的加密方式。係統處理多綫程並發請求的機製是否完善，服務端邏輯與數據庫讀寫是否存在時序問題，導緻競爭條件漏洞。係統間輸入參數的過濾機製是否完善。

具體業務風險點識彆示例如圖3-6所示。

流程六：開展測試

對前期業務流程梳理和識彆齣的風險點，進行有針對性的測試工作。

流程七：撰寫報告

最後是針對業務安全測試過程中發現的風險結果進行評價和建議，綜閤評價利用場景的風險程度和造成影響的嚴重程度，最終完成測試報告的撰寫。

前言/序言

前言

“沒有網絡安全就沒有國傢安全”。當前，網絡安全已被提升到國傢戰略的高度，成為影響國傢安全、社會穩定至關重要的因素之一。

由於Web 2.0的興起，基於Web環境的互聯網應用越來越廣泛，也讓Web應用的安全技術日趨成熟。目前互聯網上接連爆發的應用安全漏洞，讓各大企業的安全人員、運維人員、研發及管理人員都不得不重視這一領域，並為之投入瞭大量的人力和物力。日漸成熟的防護産品和解決方案，讓Web安全防護的整體環境有瞭很大的提升。互聯網上的網站模闆，大部分都自帶瞭防SQL注入、跨站腳本等攻擊的功能，傳統的“工具黨”、“小白”已很難再通過簡單操作幾個按鈕就成功完成一次Web入侵。

隨著互聯網業務的不斷發展，互聯網上的商務活動也越來越多，所涉及的網絡交易也越來越頻繁，交易的數額也越來越龐大，引發的安全事件也越來越多。而這些安全事件的攻擊者更傾嚮於利用業務邏輯層的安全漏洞，如互聯網上曝光的“1元購買特斯拉”、“微信無限刷紅包”、“支付寶熟人可重置登錄密碼”等業務安全層麵的漏洞。基於傳統的滲透測試方法很難發現這些業務邏輯層麵的問題，這類問題往往又危害巨大，可能造成企業的資産損失和名譽受損，並且傳統的安全防禦設備和措施對業務安全漏洞防護收效甚微。

業務安全問題在互聯網上也時有報道，不算新生事物，但目前缺乏一套體係化的介紹這門技術的書籍。我們通過多年的不同行業的安全服務經驗積纍瞭大量的業務安全方麵的經驗，於是萌生瞭編寫這本書的想法，把我們所有沉澱的業務安全測試經驗分享給愛好網絡安全事業的白帽子們，讓大傢一起成長，共同為國傢網絡安全事業貢獻綿薄之力。

本書的撰寫者均為軒轅攻防實驗室白帽子，這些白帽子具備多年的業務安全測試經驗，同時他們在國傢信息安全漏洞共享平颱（CNVD）報送過很多原創漏洞（2016年軒轅攻防實驗室報送原創漏洞排名第二）。這些白帽子平時低調做人、高調做事，聽說要編寫這本書時，大傢群情激奮，熱烈響應，犧牲瞭很多的個人休息時間，經過瞭近一年的努力纔總結完成瞭全麵的、詳細的可以適用於不同行業和不同業務係統的業務安全測試理論、工具、方法及案例。在此也感謝所有參與撰寫本書的這些默默無聞，不求名、不逐利、默默分享的白帽子。在編寫本書的過程中，我們也在互聯網上發現瞭很多關於業務安全方麵的經典案例，並選取瞭幾個非常不錯且比較典型的案例，經過我們整理總結後分享給各位讀者，有的案例原作者已經聯係上瞭，有個彆的也無從聯係瞭，在此也對分享這些經典案例且默默在互聯網上耕耘和貢獻的白帽子錶示衷心的感謝和發自內心的緻敬。

在內容甄選時，拋開瞭一些純理論的內容，書中選取的場景案例多是作者在工作中實際遇到的問題加以改造的，目的是讓讀者通過對本書的學習，掌握實用的業務安全測試技術，協助企業規避業務安全層麵的安全風險。

本書共15章，包括理論篇、技術篇和實踐篇。理論篇開篇首先介紹從事網絡安全工作涉及的相關法律法規，請大傢一定要做一個遵紀守法的白帽子，然後介紹業務安全引發的一些安全問題和業務安全測試相關的方法論及怎麼去學好業務安全。技術篇和實踐篇選取的內容都是這些白帽子多年在電商、金融、證券、保險、遊戲、社交、招聘、O2O等不同行業、不同的業務係統存在的各種類型業務邏輯漏洞進行安全測試總結而成的，能夠幫助讀者理解不同行業的業務係統涉及的業務安全漏洞的特點。具體來說，技術篇主要介紹登錄認證模塊測試、業務辦理模塊測試、業務授權訪問模塊測試、輸入/輸齣模塊測試、迴退模塊測試、驗證碼機製測試、業務數據安全測試、業務流程亂序測試、密碼找迴模塊測試、業務接口模塊調用測試等內容。實踐篇主要針對技術篇中的測試方法進行相關典型案例的測試總結，包括賬號安全案例總結、密碼找迴案例總結、越權訪問案例、OAuth 2.0案例總結、在綫支付安全案例總結等。

通過對本書的學習讀者可以很好地掌握業務安全層麵的安全測試技術，並且可以協助企業規避業務安全層麵的安全風險。本書比較適閤作為企業專職安全人員、研發人員、普通高等院校網絡空間安全學科的教學用書和參考書，以及作為網絡安全愛好者的自學用書。

由於水平有限，書中難免有不妥之處，加之網絡攻防技術縱深寬廣，發展迅速，在內容取捨和編排上難免考慮不周全，誠請讀者批評指正。

軒轅攻防實驗室負責人張作峰

2018年01月於北京