58沙龙-03-《业务漏洞挖掘案例与思考分享》-微博安全.docxVIP

业务漏洞挖掘案例与思考分享微博安全高级工程师唐茂凡

业务漏洞挖掘

案例与思考分享

微博安全高级工程师

唐茂凡

01现状

01

现状

分类01现状常规注入、XSS、XXE、CSRF、SSRF、文件包含、命令执行、URL重定向、点击劫持等其他

分类

01

现状

常规

注入、XSS、XXE、CSRF、SSRF、文件包含、命令执行、

URL重定向、点击劫持等

其他

网络层漏洞、系统层漏洞、组件套件中间件漏洞等

业务

登录认证、业务办理、业务数据、业务流程逻辑、业务授权访问、业务接口调用、验证码、输入\输出、回退、密码找回、密码重置、实名认证、设置个人信息、绑定银行

卡、红包优惠券、订单CURD、充值、支付、

提现......

不同01现状01漏洞成因复杂度场景流程变化多端0203风险点隐蔽通用性04不同

不同

01

现状

01

漏洞成因

复杂度

场景流程变化多端

02

03

风险点

隐蔽

通用性

04

不同

01现状为什么业务安全越来越受重视？业务安全越来越被重视

01

现状

为什么业务安全越来越受重视？

业务安全越来越被重视

02风险

02

风险

02风险

02

风险

03怎么做

03

怎么做

03怎么做

03

怎么做

4、各种难：

难以接触业务环境难以