基于业务场景的安全测试 曾裕智 介 绍 About me  ID：曾老师  目前就职于漏洞盒子  专业的业余摄影师  不会修飞机的摄影师不是好渗透工程师  以前懂SQL注入技巧，畅通无阻  现在即使有SQL注入，也未必能轻易获取到数据  业务层漏洞反而容易被忽视  业务逻辑层的安全漏洞，安全防护设备很难有效识别 企业级安全测试进化史 1.0 以业务需求为导向，功能、性能为主，缺乏必要的安 全评估与测试 2.0 基于漏洞类型的安全测试，以自动化扫描为主，人工 测试为辅 3.0 基于业务场景的安全测试，以业务场景、业务流程为 重心，人工测试主导，人机结合 1.0 阶段  企业是以业务需求为导向，功能、性能、稳定性为主导  事前缺乏必要的安全评估与测试  事中缺乏安全监控  事后难溯源 2.0 阶段  企业已经意识到安全问题并投入安全建设  防护监控设备：WAF，IPS等  以自动化扫描为代表，基于漏洞类型的安全测试；不与业务挂钩， 检测出的漏洞不是企业所关心的业务范畴  人工测试为辅  网络层，系统层，组件套件层漏洞难以利用  攻击者目标开始转向业务逻辑层 3.0 阶段 思考：  怎么才能最大限度发现业务逻辑层的安全问题？  企业能否主动选择关心的业务场景重点测试？  漏洞挖出不少，但业务全面覆盖到了吗？ 3.0 阶段  企业级的安全测试重心应基于业务场景，业务流程进行  以人工测试为主导  人机结合 企业的业务好比是一个迷宫，寻找出口的可能路径，这是机器最 擅长做的事情，再由人工各个击破。 漏洞类型vs业务场景 基于漏洞类型的安全测试 基于业务场景的安全测试 核心工作： 业务流程梳理，业务风险建模 返利类网站业务流程