《Web攻防之业务安全实战指南》得到了诸多专家推荐，严寒冰，徐凯，任望，陈新龙，余弦，白掌门，袁劲松……

企业经营的核心命脉是业务，一切以业务可持续发展为优先安全保障。

本书立足于实践，再现了典型业务安全场景，总结了业务安全风险评估的过程和方法。

对于业务及开发人员来说本书可以让你的团队开发出的业务更安全、更可靠。

本书作者陈晓光、胡兵、张作峰长期从事网络安全漏洞分析的相关工作，经验非常丰富。

业务安全漏洞作为常见的Web安全漏洞，在各大漏洞平台时有报道，陈晓光、胡兵、张作峰等编著的《Web攻防之业务安全实战指南》是一本从原理到案例分析，系统性地介绍这门技术的书籍。撰写团队具有10年大型网站业务安全测试经验，成员们对常见业务安全漏洞进行梳理，总结出了全面、详细的适用于电商、银行、金融、证券、保险、游戏、社交、招聘等业务系统的测试理论、工具、方法及案例。

本书共15章，包括理论篇、技术篇和实践篇。理论篇首先介绍从事网络安全工作涉及的相关法律法规，请大家一定要做一个遵纪守法的白帽子，然后介绍业务安全引发的一些安全问题和业务安全测试相关的方法论，以及怎么去学好业务安全。技术篇和实践篇选取的内容都是这些白帽子多年在电商、金融、证券、保险、游戏、社交、招聘、O2O等不同行业、不同的业务系统存在的各种类型业务逻辑漏洞进行安全测试总结而成的，能够帮助读者理解不同行业的业务系统涉及的业务安全漏洞的特点。具体来说，技术篇主要介绍登录认证模块测试、业务办理模块测试、业务授权访问模块测试、输入/输出模块测试、回退模块测试、验证码机制测试、业务数据安全测试、业务流程乱序测试、密码找回模块测试、业务接口模块调用测试等内容。实践篇主要针对技术篇中的测试方法进行相关典型案例的测试总结，包括账号安全案例总结、密码找回案例总结、越权访问案例、OAuth 2.0案例总结、在线支付安全案例总结等。

通过对本书的学习，读者可以很好地掌握业务安全层面的安全测试技术，并且可以协助企业规避业务安全层面的安全风险。本书比较适合作为企业专职安全人员、研发人员、普通高等院校网络空间安全学科的教学用书和参考书，以及作为网络安全爱好者的自学用书。

理论篇

 第1章 网络安全法律法规

 第2章 业务安全引发的思考

2.1 行业安全问题的思考

2.2 如何更好地学习业务安全

 第3章 业务安全测试理论

3.1 业务安全测试概述

3.2 业务安全测试模型

3.3 业务安全测试流程

3.4 业务安全测试参考标准

3.5 业务安全测试要点

技术篇

 第4章 登录认证模块测试

4.1 暴力破解测试

 4.1.1 测试原理和方法

 4.1.2 测试过程

 4.1.3 修复建议

4.2 本地加密传输测试

 4.2.1 测试原理和方法

 4.2.2 测试过程

 4.2.3 修复建议

4.3 Session测试

 4.3.1 Session会话固定测试

 4.3.2 Seesion会话注销测试

 4.3.3 Seesion会话超时时间测试

4.4 Cookie仿冒测试

 4.4.1 测试原理和方法

 4.4.2 测试过程

 4.4.3 修复建议

4.5 密文比对认证测试

 4.5.1 测试原理和方法

 4.5.2 测试过程

 4.5.3 修复建议

4.6 登录失败信息测试

 4.6.1 测试原理和方法

 4.6.2 测试过程

 4.6.3 修复建议

 第5章 业务办理模块测试

5.1 订单ID篡改测试

 5.1.1 测试原理和方法

 5.1.2 测试过程

 5.1.3 修复建议

5.2 手机号码篡改测试

 5.2.1 测试原理和方法

 5.2.2 测试过程

 5.2.3 修复建议

5.3 用户ID篡改测试

 5.3.1 测试原理和方法

 5.3.2 测试过程

 5.3.3 修复建议

5.4 邮箱和用户篡改测试

 5.4.1 测试原理和方法

 5.4.2 测试过程

 5.4.3 修复建议

5.5 商品编号篡改测试

 5.5.1 测试原理和方法

 5.5.2 测试过程

 5.5.3 修复建议

5.6 竞争条件测试

 5.6.1 测试原理和方法

 5.6.2 测试过程

 5.6.3 修复建议

 第6章 业务授权访问模块

6.1 非授权访问测试

 6.1.1 测试原理和方法

 6.1.2 测试过程

 6.1.3 修复建议

6.2 越权测试

 6.2.1 测试原理和方法

 6.2.2 测试过程

 6.2.3 修复建议

 第7章 输入/输出模块测试

7.1 SQL注入测试

 7.1.1 测试原理和方法

 7.1.2 测试过程

 7.1.3 修复建议

7.2 XSS测试

 7.2.1 测试原理和方法

 7.2.2 测试过程

 7.2.3 修复建议

7.3 命令执行测试

 7.3.1 测试原理和方法

 7.3.2 测试过程

 7.3.3 修复建议

 第8章 回退模块测试

8.1 回退测试

 8.1.1 测试原理和方法

 8.1.2 测试过程

 8.1.3 修复建议

 第9章 验证码机制测试

9.1 验证码暴力破解测试

 9.1.1 测试原理和方法

 9.1.2 测试过程

 9.1.3 修复建议

9.2 验证码重复使用测试

 9.2.1 测试原理和方法

 9.2.2 测试过程

 9.2.3 修复建议

9.3 验证码客户端回显测试

 9.3.1 测试原理和方法

 9.3.2 测试过程

 9.3.3 修复建议

9.4 验证码绕过测试

 9.4.1 测试原理和方法

 9.4.2 测试过程

 9.4.3 修复建议

9.5 验证码自动识别测试

 9.5.1 测试原理和方法

 9.5.2 测试过程

 9.5.3 修复建议

 第10章 业务数据安全测试

 第11章 业务流程乱序测试

 第12章 密码找回模块测试

 第13章 业务接口调用模块测试

实践篇

 第14章 账号安全案例总结

 第15章 密码找回安全案例总结

 第16章 越权访问安全案例总结

 第17章 OAuth 2.0安全案例总结

 第18章 在线支付安全案例总结