Question

业务安全测试通常是指针对业务运行的软、硬件平台（操作系统、数据库、中间件

等），业务系统自身（软件或设备）和业务所提供的服务进行安全测试，保护业务系统免

受安全威胁，以验证业务系统符合安全需求定义和安全标准的过程。本书所涉及的业务安

全主要是系统自身和所提供服务的安全，即针对业务系统中的业务流程、业务逻辑设计、

业务权限和业务数据及相关支撑系统及后台管理平台与业务相关的支撑功能、管理流程等

方面的安全测试，深度挖掘业务安全漏洞，并提供相关整改修复建议，从关注具体业务功

能的正确呈现、安全运营角度出发，增强用户业务系统的安全性。

传统安全测试主要依靠基于漏洞类型的自动化扫描检测，辅以人工测试，来发现如

SQL 注入、XSS、任意文件上传、远程命令执行等传统类型的漏洞，这种方式往往容易忽

略业务系统的业务流程设计缺陷、业务逻辑、业务数据流转、业务权限、业务数据等方面

的安全风险。过度依赖基于漏洞的传统安全测试方式脱离了业务系统本身，不与业务数据

相关联，很难发现业务层面的漏洞，企业很可能因为简单的业务逻辑漏洞而蒙受巨大损

失。