业务逻辑漏洞的检测一直确认是比较难以突破的课题,有一些外部厂商的方案是基于源代码进行扫描,但是效果一般。还有一些是投入了大量的人力进行渗透测试,另外就是内部自建安全测试团队。从个人角度来讲从原业务测试团队来进行逻辑测试貌似是一个比较好的方案,一般而言,测试人员...
显示全部业务逻辑漏洞的检测一直确认是比较难以突破的课题,有一些外部厂商的方案是基于源代码进行扫描,但是效果一般。还有一些是投入了大量的人力进行渗透测试,另外就是内部自建安全测试团队。
从个人角度来讲从原业务测试团队来进行逻辑测试貌似是一个比较好的方案,一般而言,测试人员对业务功能的覆盖是比较全的,发现业务逻辑漏洞所利用的工具相对而言比较简单或者说有限,主要是考验测试人员的逻辑能不能绕出正常的流程,比如转账、各类业务支付等。当然在这个过程中每发现一个业务逻辑漏洞要和正常测试发现的问题有一个内部认可的奖励机制,如1:10,供参考。
收起