Web攻防之业务安全实战指南

多年实战经验归纳总结的业务安全测试点和步骤，大量案例再现了典型业务安全场景，梳理出了整个业务安全体系漏洞挖掘的方法论。

• 本书得到了诸多专家推荐，严寒冰，徐凯，任望，陈新龙，余弦，白掌门，袁劲松……
• 企业经营的核心命脉是业务，一切以业务可持续发展为优先安全保障
• 本书立足于实践，再现了典型业务安全场景，总结了业务安全风险评估的过程和方法
• 对于业务及开发人员来说本书可以让你的团队开发出的业务更安全、更可靠
• 本书作者长期从事网络安全漏洞分析的相关工作，经验非常丰富

    “没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。
    由于Web 2.0的兴起，基于Web环境的互联网应用越来越广泛，也让Web应用的安全技术日趋成熟。目前互联网上接连爆发的应用安全漏洞，让各大企业的安全人员、运维人员、研发及管理人员都不得不重视这一领域，并为之投入了大量的人力和物力。日渐成熟的防护产品和解决方案，让Web安全防护的整体环境有了很大的提升。互联网上的网站模板，大部分都自带了防SQL注入、跨站脚本等攻击的功能，传统的“工具党”、“小白”已很难再通过简单操作几个按钮就成功完成一次Web入侵。
    随着互联网业务的不断发展，互联网上的商务活动也越来越多，所涉及的网络交易也越来越频繁，交易的数额也越来越庞大，引发的安全事件也越来越多。而这些安全事件的攻击者更倾向于利用业务逻辑层的安全漏洞，如互联网上曝光的“1元购买特斯拉”、“微信无限刷红包”、“支付宝熟人可重置登录密码”等业务安全层面的漏洞。基于传统的渗透测试方法很难发现这些业务逻辑层面的问题，这类问题往往又危害巨大，可能造成企业的资产损失和名誉受损，并且传统的安全防御设备和措施对业务安全漏洞防护收效甚微。
    业务安全问题在互联网上也时有报道，不算新生事物，但目前缺乏一套体系化的介绍这门技术的书籍。我们通过多年的不同行业的安全服务经验积累了大量的业务安全方面的经验，于是萌生了编写这本书的想法，把我们所有沉淀的业务安全测试经验分享给爱好网络安全事业的白帽子们，让大家一起成长，共同为国家网络安全事业贡献绵薄之力。
    本书的撰写者均为轩辕攻防实验室白帽子，这些白帽子具备多年的业务安全测试经验，同时他们在国家信息安全漏洞共享平台（CNVD）报送过很多原创漏洞（2016年轩辕攻防实验室报送原创漏洞排名第二）。这些白帽子平时低调做人、高调做事，听说要编写这本书时，大家群情激奋，热烈响应，牺牲了很多的个人休息时间，经过了近一年的努力才总结完成了全面的、详细的可以适用于不同行业和不同业务系统的业务安全测试理论、工具、方法及案例。在此也感谢所有参与撰写本书的这些默默无闻，不求名、不逐利、默默分享的白帽子。在编写本书的过程中，我们也在互联网上发现了很多关于业务安全方面的经典案例，并选取了几个非常不错且比较典型的案例，经过我们整理总结后分享给各位读者，有的案例原作者已经联系上了，有个别的也无从联系了，在此也对分享这些经典案例且默默在互联网上耕耘和贡献的白帽子表示衷心的感谢和发自内心的致敬。
    在内容甄选时，抛开了一些纯理论的内容，书中选取的场景案例多是作者在工作中实际遇到的问题加以改造的，目的是让读者通过对本书的学习，掌握实用的业务安全测试技术，协助企业规避业务安全层面的安全风险。
    本书共15章，包括理论篇、技术篇和实践篇。理论篇开篇首先介绍从事网络安全工作涉及的相关法律法规，请大家一定要做一个遵纪守法的白帽子，然后介绍业务安全引发的一些安全问题和业务安全测试相关的方法论及怎么去学好业务安全。技术篇和实践篇选取的内容都是这些白帽子多年在电商、金融、证券、保险、游戏、社交、招聘、O2O等不同行业、不同的业务系统存在的各种类型业务逻辑漏洞进行安全测试总结而成的，能够帮助读者理解不同行业的业务系统涉及的业务安全漏洞的特点。具体来说，技术篇主要介绍登录认证模块测试、业务办理模块测试、业务授权访问模块测试、输入/输出模块测试、回退模块测试、验证码机制测试、业务数据安全测试、业务流程乱序测试、密码找回模块测试、业务接口模块调用测试等内容。实践篇主要针对技术篇中的测试方法进行相关典型案例的测试总结，包括账号安全案例总结、密码找回案例总结、越权访问案例、OAuth 2.0案例总结、在线支付安全案例总结等。
    通过对本书的学习读者可以很好地掌握业务安全层面的安全测试技术，并且可以协助企业规避业务安全层面的安全风险。本书比较适合作为企业专职安全人员、研发人员、普通高等院校网络空间安全学科的教学用书和参考书，以及作为网络安全爱好者的自学用书。
    由于水平有限，书中难免有不妥之处，加之网络攻防技术纵深宽广，发展迅速，在内容取舍和编排上难免考虑不周全，诚请读者批评指正。

轩辕攻防实验室负责人  张作峰
2018年01月  于北京

    随着网络安全的发展，越来越多的人开始关注注入、跨站、上传等Web 安全问题，鲜有专业人士对业务安全做深入的研究和总结，作者结合多年的实战经验详细介绍了从登录到业务流程再到越权访问等各个环节可能存在的业务安全问题，对网站开发人员和安全测试人员来说本书都是一本很好的教材。
——公安部第三研究所主任  徐凯

    近年来，业务安全日益成为网络安全的重要风险来源，业务安全也受到广泛关注，但其安全风险的测试与评估方法一直比较欠缺。本书立足于实践，再现了典型业务安全场景，总结了业务安全风险评估的过程和方法，推荐具有一定安全基础的人员阅读，同时也适合信息系统运营者参阅。
——中国信息安全测评中心系统评估处  任望

    企业经营的核心命脉是业务，一切以业务可持续发展为优先安全保障，基于业务做安全一直也都是安全专家的核心竞争力，此书清晰地阐述了做业务安全所需要的战略、战法，读起来通俗易懂，可操作性强，值得拥有。
——威客安全董事长兼CEO  陈新龙

    这本书以业务安全测试为出发点，由浅入深实践了业务各环节的安全攻防。对于安全攻防人员来说是一本很值得参考的书籍；对于业务及开发人员来说这本书里的实践可以让你的团队开发出的业务更安全、更可靠。
——Joinsec 创始人  余弦

    非常实用的一本书，堪称网络安全技术人员的宝典！该书详细介绍了各种类型的互联网业务漏洞如何复现和利用，给出了翔实有效的修复建议，同时又结合了大量实际案例，很有借鉴与启发意义。
——补天漏洞响应平台  白掌门

    攻防之战永不停歇，在与黑色产业的对抗中，安全从业者需要不断学习新的知识和技能，本书介绍的业务安全知识正好补充了传统安全的缺失部分。
——漏洞盒子创始人  袁劲松