Question

想要学好业务安全，首先要掌握一套成熟的业务安全测试的方式方法，消化吸收前人

总结的宝贵经验，开拓自己的安全视野。

其次需要了解目标平台的业务流程。在进行安全测试前，需要对业务的详细流程进行

一次全面的梳理。可以先将业务主体划分为几个大模块，再将每个大模块逐个细分为子模

块。可以从账号体系开始，如用户的注册、登录、密码找回、信息存储等，再到具体的业

务办理，如商品的搜索、选择、支付、生成订单，以及订单查询和用户评论等。对整个业

务流程有了一个详细的了解后，再结合前面学到的测试方法，就能更全面地把控业务流程

的各个步骤可能存在的风险点。

应结合被测试对象的实际业务情况，从熟悉公司、组织的业务模式、赢利模式来着

手，通过一定程度地理解被测对象的业务模式，了解信息系统所承载的业务数据流转情

况，分析出业务对象、渠道，以及各业务系统前、后台业务数据的生成、传输、使用和存

储方式，再针对不同的业务场景构建相应的业务安全测试模型。

建议读者尽量自己搭建每个业务场景，在自己搭建业务环境的过程中，可以熟悉业务

流程和业务类型，对于自己搭建的业务环境会有更深刻的印象。

通常情况下针对电子商务类业务安全测试模型的构建应着重考虑账户、交易和支付三

个重要业务相关环节，确保账户体系安全、交易体系安全、支付体系安全以及用户信息存

储安全。

在实践层面，推荐使用以下两种测试技巧，以达到事半功倍的效果：

·

科学的测试方法。常规的方法有控制变量法、删减法等，如在分析平行权限跨越

时，需要明白每一次步骤变的是什么，不变的是什么，控制好不同变量的变化，从而筛选

出影响业务流程的参数。

· 学会使用思维导图等工具。在面对复杂的系统时，我们需要通过思维导图等工具来

协助我们理清各个业务模块之间的联系，从而做到有的放矢。

如果是初学者，建议先熟悉 Web 安全的基础知识，推荐本书同系列的《Web 安全基础

教程》，该教程详细介绍了 Web 安全基础、Web 安全测试方法、Web 常见漏洞、Web 安全

实战演练、日常安全意识。在熟悉基础安全技能后，再结合本书的案例多进行动手实践，

毕竟读万卷书，不如行万里路。

最后，希望在网络安全的道路上与君共勉，砥砺前行！