业务逻辑漏洞的检测如何有效实现?

参与3

1同行回答

wangzhaowenwangzhaowen  安全工程师 , HFBank
业务逻辑漏洞的检测一直确认是比较难以突破的课题,有一些外部厂商的方案是基于源代码进行扫描,但是效果一般。还有一些是投入了大量的人力进行渗透测试,另外就是内部自建安全测试团队。从个人角度来讲从原业务测试团队来进行逻辑测试貌似是一个比较好的方案,一般而言,测试人员...显示全部

业务逻辑漏洞的检测一直确认是比较难以突破的课题,有一些外部厂商的方案是基于源代码进行扫描,但是效果一般。还有一些是投入了大量的人力进行渗透测试,另外就是内部自建安全测试团队。

从个人角度来讲从原业务测试团队来进行逻辑测试貌似是一个比较好的方案,一般而言,测试人员对业务功能的覆盖是比较全的,发现业务逻辑漏洞所利用的工具相对而言比较简单或者说有限,主要是考验测试人员的逻辑能不能绕出正常的流程,比如转账、各类业务支付等。当然在这个过程中每发现一个业务逻辑漏洞要和正常测试发现的问题有一个内部认可的奖励机制,如1:10,供参考。

收起
银行 · 2016-08-05
浏览1388

提问者

louliang
安全工程师交通银行
擅长领域: 安全渗透测试SOC平台

问题来自

问题状态

  • 发布时间:2016-08-04
  • 关注会员:2 人
  • 问题浏览:4087
  • 最近回答:2016-08-05
  • X社区推广