《WEB攻防之業務安全實戰指南》
這本書盾叔認為是一本網絡安全小白必讀的書目,從原理到案例分析,系統性地介紹了業務安全技術。
作者是軒轅攻防實驗室團隊。該團隊擁有10年大型網站業務安全測試經驗。
他們在這本書中,總結出了曾在工作中經歷過的案例,全面、詳細的給出了適用於電商、銀行、金融、證券、保險、遊戲、社交、招聘等業務系統的測試理論、工具、方法。
我們經常聽到的漏洞主要是SQL注入、CSRF、XSS等等,如果說要歸類,那麼它們都屬於技術漏洞。而這本書主要探討的是關於業務層面的安全漏洞。
網際網路公司開展業務都是基於WEB技術,那麼黑客就可以經常針對企業的漏洞,花少數的錢購買這些網店的高價值商品。黑客還可以輕鬆攻破用戶的帳號密碼。
這本書共15章,包括理論篇、技術篇和實踐篇。
作者為了幫助小白們避免在學習的過程中觸犯到法律法規,因此在第一章理論篇就詳細的羅列了從事網絡安全工作涉及的刑法修正案的法條,以及業務安全引發的一些安全問題和業務安全測試相關的方法論,以及怎麼去學好業務安全。
作者還非常貼心的描繪了一個業務安全測試模型。
技術篇和實踐篇選取的內容都是這些白帽子多年在各種不同行業、不同的業務系統中發現的各種邏輯漏洞,這些漏洞都被團隊進行了安全測試並總結記錄,這些實戰就能夠幫助讀者去理解那些不同行業的系統涉及的安全漏洞。
技術篇主要介紹了登錄認證模塊測試、業務辦理模塊測試、業務授權訪問模塊測試、輸入/輸出模塊測試、回退模塊測試、驗證碼機制測試、業務數據安全測試、業務流程亂序測試、密碼找回模塊測試、業務接口模塊調用測試等內容。
實踐篇主要針對技術篇中的測試方法進行相關典型案例的測試總結,包括帳號安全案例總結、密碼找回案例總結、越權訪問案例、OAuth 2.0案例總結、在線支付安全案例總結等。
內容都是該團隊在以往的業務中挖洞或者做測試項目時的真實案例。
當你讀完這本書,你就會對整個業務安全有一個框架性的認知,而且這本書中也並沒有用到各種複雜的工具,只用到BurpSuite。這樣會給你提供一個輕鬆的學習思路。
如果你還想了解更多關於網絡安全的好書,就來網盾網絡安全培訓中心
網盾深耕網絡安全教育,創新步履不止,十六年來厚積行業背景,從未停止對行業需求的洞察。
網盾網絡安全培訓中心不斷挖掘企業人才需求,不斷分析和解決技術網絡安全人才培養難點,深獲行業認同。
講師均擁有8-15年以上網絡安全領域的項目實戰經驗和教學經驗;
熟知最新業內系統安全隱患、軟體安全產業技術的發展趨勢;
了解人才需求特點,能準確把握並彌補企業用人需求和學員能力之間的差距,並提供針對性的教育及培育方案。
授課採用「攻防並舉、以攻促防」的思路,著力加強網絡安全人才培養,形成「為戰育人」的常態化攻防培訓體系。為了針對性提升網絡安全人員實操能力,聚焦建設網絡靶場,模擬複雜多樣的網絡環境,開展網絡攻防演練,對抗動態推演,驗證攻防工具及系統安全性。
目標就是培養技術紮實的網安人,築牢網絡安全屏障!