Web 攻防之业务安全：接口未授权访问/调用测试（敏感信息泄露）(web攻防之业务安全实战指南)

编辑：rootadmin

Web 攻防之业务安全：接口未授权访问/调用测试（敏感信息泄露） Web 攻防之业务安全：接口未授权访问/调用测试

推荐整理分享Web 攻防之业务安全：接口未授权访问/调用测试（敏感信息泄露）(web攻防之业务安全实战指南)，希望有所帮助，仅作参考，欢迎阅读内容。

文章相关热门搜索词:web攻防之业务安全,web攻防之业务安全实战指南,web攻防之业务安全实战指南在线阅读,web攻防技术,web攻防之业务安全实战指南,web攻防之业务安全实战指南pdf,web攻防之业务安全实战指南,web攻防之业务安全实战指南pdf,内容如对您有帮助，希望把文章链接给更多的朋友！

业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台（操作系统、数据库，中间件等）、业务系统自身（软件或设备）、业务所提供的服务安全；狭义的业务安全指业务系统自有的软件与服务的安全。

验证码绕过测试：

测试原理和方法：

测试过程：

第一步：在网站登陆后使用 Burp Suite 的爬虫功能，从重点关注的目录一般为网站根目录开始爬取，在 HTTP history 选项卡中选中要开始爬取的项，右键选择 “Spider from here” 爬取的结果会在 Target --> Site map 中显示，在爬取完毕后使用 Burp Suite 的 HIME Type 过滤功能筛选出接口相关的 HTTP 请求重点关注 json，script，xml，text MIME Type等.（这里只是步骤说明）

第二步：对接口相关的请求进行查看，查看响应中是否包含想要的敏感信息，如个人电话，IP地址，兴趣爱好，网站的浏览记录，身份证，手机号，地址等信息.（这里只是步骤说明）

第三步：将完整的请求 URL 复制到未登录的浏览器中，查看能否访问对应的 URL 的内容，如果能够返回敏感信息，则存在漏洞，如果需要登录后才能访问，则漏洞不存在.（这里只是步骤说明）

修复建议：

免责

本文链接地址:https://www.jiuchutong.com/zhishi/293119.html 转载请保留说明！

上一篇：2022.07.25 C++下使用opencv部署yolov7模型（五）(c++~怎么用)

下一篇：H5页面跳转小程序的三种方式(h5页面跳转小程序不显示按钮)