Web攻防之業務安全實戰指南

業務安全漏洞作為常見的Web安全漏洞，在各大漏洞平台時有報導，《Web攻防之業務安全實戰指南》是一本從原理到案例分析，系統性地介紹這門技術的書籍。撰寫團隊具有10年大型網站業務安全測試經驗，成員們對常見業務安全漏洞進行梳理，總結出了全面、詳細的適用於電商、銀行、金融、證券、保險、遊戲、社交、招聘等業務系統的測試理論、工具、方法及案例。

《Web攻防之業務安全實戰指南》共15章，包括理論篇、技術篇和實踐篇。理論篇首先介紹從事網路安全工作涉及的相關法律法規，請大家一定要做一個遵紀守法的白帽子，然後介紹業務安全引發的一些安全問題和業務安全測試相關的方法論，以及怎么去學好業務安全。技術篇和實踐篇選取的內容都是這些白帽子多年在電商、金融、證券、保險、遊戲、社交、招聘、O2O等不同行業、不同的業務系統存在的各種類型業務邏輯漏洞進行安全測試總結而成的，能夠幫助讀者理解不同行業的業務系統涉及的業務安全漏洞的特點。具體來說，技術篇主要介紹登錄認證模組測試、業務辦理模組測試、業務授權訪問模組測試、輸入/輸出模組測試、回退模組測試、驗證碼機制測試、業務數據安全測試、業務流程亂序測試、密碼找回模組測試、業務接口模組調用測試等內容。實踐篇主要針對技術篇中的測試方法進行相關典型案例的測試總結，包括賬號安全案例總結、密碼找回案例總結、越權訪問案例、OAuth 2.0案例總結、線上支付安全案例總結等。

通過對《Web攻防之業務安全實戰指南》的學習，讀者可以很好地掌握業務安全層面的安全測試技術，並且可以協助企業規避業務安全層面的安全風險。《Web攻防之業務安全實戰指南》比較適合作為企業專職安全人員、研發人員、普通高等院校網路空間安全學科的教學用書和參考書，以及作為網路安全愛好者的自學用書。

理論篇

第1章 網路安全法律法規 2

第2章 業務安全引發的思考 8

2.1 行業安全問題的思考 8

2.2 如何更好地學習業務安全 9

第3章 業務安全測試理論 11

3.1 業務安全測試概述 11

3.2 業務安全測試模型 12

3.3 業務安全測試流程 13

3.4 業務安全測試參考標準 18

3.5 業務安全測試要點 18

技術篇

第4章 登錄認證模組測試 22

4.1 暴力破解測試 22

4.1.1 測試原理和方法 22

4.1.2 測試過程 22

4.1.3 修復建議 30

4.2 本地加密傳輸測試 30

4.2.1 測試原理和方法 30

4.2.2 測試過程 30

4.2.3 修復建議 32

4.3 Session測試 32

4.3.1 Session會話固定測試 32

4.3.2 Seesion會話註銷測試 35

4.3.3 Seesion會話逾時時間測試 39

4.4 Cookie仿冒測試 42

4.4.1 測試原理和方法 42

4.4.2 測試過程 42

4.4.3 修復建議 45

4.5 密文比對認證測試 45

4.5.1 測試原理和方法 45

4.5.2 測試過程 45

4.5.3 修復建議 48

4.6 登錄失敗信息測試 48

4.6.1 測試原理和方法 48

4.6.2 測試過程 49

4.6.3 修復建議 50

第5章 業務辦理模組測試 51

5.1 訂單ID篡改測試 51

5.1.1 測試原理和方法 51

5.1.2 測試過程 51

5.1.3 修復建議 55

5.2 手機號碼篡改測試 55

5.2.1 測試原理和方法 55

5.2.2 測試過程 56

5.2.3 修復建議 57

5.3 用戶ID篡改測試 58

5.3.1 測試原理和方法 58

5.3.2 測試過程 58

5.3.3 修復建議 60

5.4 信箱和用戶篡改測試 60

5.4.1 測試原理和方法 60

5.4.2 測試過程 61

5.4.3 修復建議 62

5.5 商品編號篡改測試 63

5.5.1 測試原理和方法 63

5.5.2 測試過程 63

5.5.3 修復建議 65

5.6 競爭條件測試 66

5.6.1 測試原理和方法 66

5.6.2 測試過程 67

5.6.3 修復建議 69

第6章 業務授權訪問模組 70

6.1 非授權訪問測試 70

6.1.1 測試原理和方法 70

6.1.2 測試過程 70

6.1.3 修復建議 71

6.2 越權測試 72

6.2.1 測試原理和方法 72

6.2.2 測試過程 72

6.2.3 修復建議 76

第7章 輸入/輸出模組測試 77

7.1 SQL注入測試 77

7.1.1 測試原理和方法 77

7.1.2 測試過程 78

7.1.3 修復建議 84

7.2 XSS測試 84

7.2.1 測試原理和方法 84

7.2.2 測試過程 85

7.2.3 修復建議 88

7.3 命令執行測試 89

7.3.1 測試原理和方法 89

7.3.2 測試過程 89

7.3.3 修復建議 91

第8章 回退模組測試 92

8.1 回退測試 92

8.1.1 測試原理和方法 92

8.1.2 測試過程 92

8.1.3 修復建議 93

第9章 驗證碼機制測試 94

9.1 驗證碼暴力破解測試 94

9.1.1 測試原理和方法 94

9.1.2 測試過程 94

9.1.3 修復建議 97

9.2 驗證碼重複使用測試 97

9.2.1 測試原理和方法 97

9.2.2 測試過程 98

9.2.3 修復建議 100

9.3 驗證碼客戶端回顯測試 101

9.3.1 測試原理和方法 101

9.3.2 測試過程 101

9.3.3 修復建議 104

9.4 驗證碼繞過測試 104

9.4.1 測試原理和方法 104

9.4.2 測試過程 104

9.4.3 修復建議 106

9.5 驗證碼自動識別測試 106

9.5.1 測試原理和方法 106

9.5.2 測試過程 107

9.5.3 修復建議 111

第10章 業務數據安全測試 112

10.1 商品支付金額篡改測試 112

10.1.1 測試原理和方法 112

10.1.2 測試過程 112

10.1.3 修復建議 115

10.2 商品訂購數量篡改測試 115

10.2.1 測試原理和方法 115

10.2.2 測試過程 115

10.2.3 修復建議 120

10.3 前端JS限制繞過測試 121

10.3.1 測試原理和方法 121

10.3.2 測試過程 121

10.3.3 修復建議 123

10.4 請求重放測試 123

10.4.1 測試原理和方法 123

10.4.2 測試過程 123

10.4.3 修復建議 125

10.5 業務上限測試 126

10.5.1 測試原理和方法 126

10.5.2 測試過程 126

10.5.3 修復建議 128

第11章 業務流程亂序測試 129

11.1 業務流程繞過測試 129

11.1.1 測試原理和方法 129

11.1.2 測試過程 129

11.1.3 修復建議 133

第12章 密碼找回模組測試 134

12.1 驗證碼客戶端回顯測試 134

12.1.1 測試原理和方法 134

12.1.2 測試流程 134

12.1.3 修復建議 137

12.2 驗證碼暴力破解測試 137

12.2.1 測試原理和方法 137

12.2.2 測試流程 137

12.2.3 修復建議 140

12.3 接口參數賬號修改測試 140

12.3.1 測試原理和方法 140

12.3.2 測試流程 141

12.3.3 修復建議 144

12.4 Response狀態值修改測試 144

12.4.1 測試原理和方法 144

12.4.2 測試流程 144

12.4.3 修復建議 147

12.5 Session覆蓋測試 147

12.5.1 測試原理和方法 147

12.5.2 測試流程 148

12.5.3 修復建議 150

12.6 弱Token設計缺陷測試 150

12.6.1 測試原理和方法 150

12.6.2 測試流程 151

12.6.3 修復建議 153

12.7 密碼找回流程繞過測試 153

12.7.1 測試原理和方法 153

12.7.2 測試流程 154

12.7.3 修復建議 157

第13章 業務接口調用模組測試 158

13.1 接口調用重放測試 158

13.1.1 測試原理和方法 158

13.1.2 測試過程 158

13.1.3 修復建議 160

13.2 接口調用遍歷測試 160

13.2.1 測試原理和方法 160

13.2.2 測試過程 161

13.2.3 修復建議 166

13.3 接口調用參數篡改測試 167

13.3.1 測試原理和方法 167

13.3.2 測試過程 167

13.3.3 修復建議 169

13.4 接口未授權訪問/調用測試 169

13.4.1 測試原理和方法 169

13.4.2 測試過程 170

13.4.3 修復建議 172

13.5 Callback自定義測試 172

13.5.1 測試原理和方法 172

13.5.2 測試過程 173

13.5.3 修復建議 177

13.6 WebService測試 177

13.6.1 測試原理和方法 177

13.6.2 測試過程 177

13.6.3 修復建議 184

實踐篇

第14章 賬號安全案例總結 186

14.1 賬號安全歸納 186

14.2 賬號安全相關案例 187

14.1.1 賬號密碼直接暴露在網際網路上 187

14.1.2 無限制登錄任意賬號 189

14.1.3 電子郵件賬號泄露事件 192

14.1.4 中間人攻擊 195

14.1.5 撞庫攻擊 197

14.3 防範賬號泄露的相關手段 199

第15章 密碼找回安全案例總結 200

15.1 密碼找回憑證可被暴力破解 200

15.1.1 某社交軟體任意密碼修改案例 201

15.2 密碼找回憑證直接返回給客戶端 203

15.2.1 密碼找回憑證暴露在請求連結中 204

15.2.2 加密驗證字元串返回給客戶端 205

15.2.3 網頁原始碼中隱藏著密保答案 206

15.2.4 簡訊驗證碼返回給客戶端 207

15.3 密碼重置連結存在弱Token 209

15.3.1 使用時間戳的md5作為密碼重置Token 209

15.3.2 使用伺服器時間作為密碼重置Token 210

15.4 密碼重置憑證與用戶賬戶關聯不嚴 211

15.4.1 使用簡訊驗證碼找回密碼 212

15.4.2 使用信箱Token找回密碼 213

15.5 重新綁定用戶手機或信箱 213

15.5.1 重新綁定用戶手機 214

15.5.2 重新綁定用戶信箱 215

15.6 服務端驗證邏輯缺陷 216

15.6.1 刪除參數繞過驗證 217

15.6.2 信箱地址可被操控 218

15.6.3 身份驗證步驟可被繞過 219

15.7 在本地驗證服務端的返回信息——修改返回包繞過驗證 221

15.8 註冊覆蓋——已存在用戶可被重複註冊 222

15.9 Session覆蓋——某電商網站可通過Session覆蓋方式重置他人密碼 223

15.10 防範密碼找回漏洞的相關手段 225

第16章 越權訪問安全案例總結 227

16.1 平行越權 227

16.1.1 某高校教務系統用戶可越權查看其他用戶個人信息 227

16.1.2 某電商網站用戶可越權查看或修改其他用戶信息 229

16.1.3 某手機APP普通用戶可越權查看其他用戶個人信息 232

16.2 縱向越權 233

16.2.1 某辦公系統普通用戶許可權越權提升為系統許可權 233

16.2.2 某中學網站管理後台可越權添加管理員賬號 235

16.2.3 某智慧型機頂盒低許可權用戶可越權修改超級管理員配置信息 240

16.2.4 某Web防火牆通過修改用戶對應選單類別可提升許可權 244

16.3 防範越權訪問漏洞的相關手段 247

第17章 OAuth 2.0安全案例總結 248

17.1 OAuth 2.0認證原理 248

17.2 OAuth 2.0漏洞總結 250

17.2.1 某社交網站CSRF漏洞導致綁定劫持 250

17.2.2 某社區劫持授權 251

17.3 防範OAuth 2.0漏洞的相關手段 253

第18章 線上支付安全案例總結 254

18.1 某快餐連鎖店官網訂單金額篡改 254

18.2 某網上商城訂單數量篡改 256

18.3 某伺服器供應商平台訂單請求重放測試 257

18.4 某培訓機構官網訂單其他參數干擾測試 259

18.5 防範線上支付漏洞的相關手段 261

3.3 業務安全測試流程

業務安全測試流程總體上分為七個階段，前期工作主要以測試準備和業務調研為主，通過收集並參考業務系統相關設計文檔和實際操作，與相關開發人員溝通、調研等方式熟悉了解被測系統業務內容和流程，然後在前期工作的基礎上，根據業務類型進行業務場景建模，並把重要業務系統功能拆分成待測試的業務模組，進而對重要業務功能的各個業務模組進行業務流程梳理，之後對梳理後的業務關鍵點進行風險識別工作，這也是業務測試安全最重要的關鍵環節，最終根據風險點設計相應的測試用例，開展測試工作並最終輸出測試報告。具體業務安全測試流程如圖3-2所示。

流程一：測試準備

準備階段主要包括對業務系統的前期熟悉工作，以了解被測試業務系統的數量、規模和場景等內容。針對白盒性質的測試，可以結合相關開發文檔去熟悉相關係統業務；針對黑盒測試，可通過實際操作還原業務流程的方式理解業務。

流程二：業務調研

業務調研階段主要針對業務系統相關負責人進行訪談調研，了解業務系統的整體情況，包括部署情況、功能模組、業務流程、數據流、業務邏輯以及現有的安全措施等內容。根據以往測試實施經驗，在業務調研前可先設計訪談問卷，訪談後可能會隨著對客戶業務系統具體情況了解的深入而不斷調整、更新問卷（黑盒測試此步驟可忽略）。

流程三：業務場景建模

針對不同行業、不同平台的業務系統，如電商、銀行、金融、證券、保險、遊戲、社交、招聘等業務系統，識別出其中的高風險業務場景進行建模。以電商系統為例，如圖3-3所示為業務場景建模模型圖。

流程四：業務流程梳理

建模完成後需要對重要業務場景的各個業務模組逐一進行業務流程梳理，從前台和後台、業務和支撐系統等4個不同維度進行分析，識別各業務模組的業務邏輯、業務數據流和功能欄位等。

業務模組的流程梳理主要遵循以下原則：

√ 區分業務主流程和分支流程，業務梳理工作是圍繞主流程進行分析的，而主流程一定是核心業務流程，業務流程重點梳理的對象首先應放在核心主流程上，務必梳理出業務關鍵環節；

√ 概括歸納業務分支流程，業務分支流程往往存在通用點，可將具有業務相似性的分支流程歸納成某一類型的業務流程，無須單獨對其進行測試；

√ 識別業務流程數據信息流，特別是業務數據流在互動方雙方之間傳輸的先後順序、路徑等；

√ 識別業務數據流功能欄位，識別數據流中包含的重要程度不等的信息，理解這些欄位的含義有助於下階段風險點分析。

如圖3-4所示是針對某電商類網站的用戶登錄功能的業務流程梳理圖。

通過業務流程的各個階段梳理出業務流程各個關鍵環節點，如圖3-5所示。

流程五：業務風險點識別

在完成前期不同維度的業務流程梳理工作後，針對前台業務應著重關注用戶界面操作每一步可能的邏輯風險和技術風險；針對後台業務應著重關注數據安全、數據流轉及處理的日誌和審計。

業務風險點識別應主要關注以下安全風險內容。

（1）業務環節存在的安全風險

業務環節存在的安全風險指的是業務使用者可見的業務存在的安全風險，如註冊、登錄和密碼找回等身份認證環節，是否存在完善的驗證碼機制、數據一致性校驗機制、Session和Cookie校驗機制等，是否能規避驗證碼繞過、暴利破解和SQL注入等漏洞。

（2）支持系統存在的安全風險

支持系統存在的安全風險，如用戶訪問控制機制是否完善，是否存在水平越權或垂直越權漏洞。系統內加密存儲機制是否完善，業務數據是否明文傳輸。系統使用的業務接口是否可以未授權訪問/調用，是否可以調用重放、遍歷，接口調用參數是否可篡改等。

（3）業務環節間存在的安全風險

業務環節間存在的安全風險，如系統業務流程是否存在亂序，導致某個業務環節可繞過、回退，或某個業務請求可以無限重放。業務環節間傳輸的數據是否有一致性校驗機制，是否存在業務數據可被篡改的風險。

（4）支持系統間存在的安全風險

支持系統間存在的安全風險，如系統間數據傳輸是否加密、系統間傳輸的參數是否可篡改。系統間輸入參數的過濾機制是否完善，是否可能導致SQL注入、XSS跨站腳本和代碼執行漏洞。

（5）業務環節與支持系統間存在的安全風險

業務環節與支持系統間存在的風險，如數據傳輸是否加密、加密方式是否完善，是否採用前端加密、簡單MD5編碼等不安全的加密方式。系統處理多執行緒並發請求的機制是否完善，服務端邏輯與資料庫讀寫是否存在時序問題，導致競爭條件漏洞。系統間輸入參數的過濾機制是否完善。

具體業務風險點識別示例如圖3-6所示。

流程六：開展測試

對前期業務流程梳理和識別出的風險點，進行有針對性的測試工作。

流程七：撰寫報告

最後是針對業務安全測試過程中發現的風險結果進行評價和建議，綜合評價利用場景的風險程度和造成影響的嚴重程度，最終完成測試報告的撰寫。

陳曉光

恆安嘉新（北京）科技股份公司執行總裁，資深安全專家，畢業於北京郵電大學信息安全專業。長期從事網路與信息安全方面的技術研究、項目管理和市場拓展工作。曾主導和參與多項重大國家標準、國家863 項目和242 安全課題；建設了多個全國性安全系統工程；為電信、金融和政府等多個行業提供安全建議。在安全風險評估、安全管理體系、安全標準、移動網際網路安全和通信安全等領域有著豐富的實踐經驗。擁有CISSP、CISA、ISO27001 LA 等多項國際安全從業資質。

胡兵恆

安嘉新（北京）科技股份公司安全攻防與應急回響中心總經理。負責公司安全產品解決方案、安全攻防技術研究、安全諮詢服務等工作。多年來，一直致力於安全攻防技術的研究，曾參與國家信息安全有關部門、各大電信運營商、高校多個課題研究項目。帶領安全研究團隊支撐“中國反網路病毒聯盟平台ANVA”、“國家信息安全漏洞共享平台CNVD”運營工作，以及承擔國家重要活動期間的安全保障工作。

張作峰（Rce）

恆安嘉新（北京）科技股份公司安全攻防與應急回響中心副總經理、軒轅攻防實驗室團隊負責人、安全專家、網際網路白帽子，原啟明星辰資深安全研究員。十餘年網路安全服務、安全研究、應急保障工作經驗，在職期間參與完成了多個大型安全服務、集成、安全課題項目，以及多次國家重要活動的網路安全應急保障任務。

網際網路安全問題帶來的危害日益嚴重。本書作者長期從事網路安全漏洞分析的相關工作。全書貼近網路安全實際工作，系統地介紹了業務邏輯安全測試的相關技術。一經閱讀，引人入勝。詳細閱讀本書的讀者，一定會獲益匪淺。

——國家網際網路應急中心運行部主任 嚴寒冰

隨著網路安全的發展，越來越多的人開始關注注入、跨站、上傳等Web 安全問題，鮮有專業人士對業務安全做深入的研究和總結，作者結合多年的實戰經驗詳細介紹了從登錄到業務流程再到越權訪問等各個環節可能存在的業務安全問題，對網站開發人員和安全測試人員來說本書都是一本很好的教材。

——公安部第三研究所主任 徐凱

近年來，業務安全日益成為網路安全的重要風險來源，業務安全也受到廣泛關注，但其安全風險的測試與評估方法一直比較欠缺。本書立足於實踐，再現了典型業務安全場景，總結了業務安全風險評估的過程和方法，推薦具有一定安全基礎的人員閱讀，同時也適合信息系統運營者參閱。

——中國信息安全測評中心繫統評估處 任望

企業經營的核心命脈是業務，一切以業務可持續發展為優先安全保障，基於業務做安全一直也都是安全專家的核心競爭力，此書清晰地闡述了做業務安全所需要的戰略、戰法，讀起來通俗易懂，可操作性強，值得擁有。

——威客安全董事長兼CEO 陳新龍

這本書以業務安全測試為出發點，由淺入深實踐了業務各環節的安全攻防。對於安全攻防人員來說是一本很值得參考的書籍；對於業務及開發人員來說這本書里的實踐可以讓你的團隊開發出的業務更安全、更可靠。

——Joinsec 創始人 餘弦

非常實用的一本書，堪稱網路安全技術人員的寶典！該書詳細介紹了各種類型的網際網路業務漏洞如何復現和利用，給出了翔實有效的修復建議，同時又結合了大量實際案例，很有借鑑與啟發意義。

——補天漏洞回響平台 白掌門

攻防之戰永不停歇，在與黑色產業的對抗中，安全從業者需要不斷學習新的知識和技能，本書介紹的業務安全知識正好補充了傳統安全的缺失部分。

——漏洞盒子創始人 袁勁松

“沒有網路安全就沒有國家安全”。當前，網路安全已被提升到國家戰略的高度，成為影響國家安全、社會穩定至關重要的因素之一。

由於Web 2.0的興起，基於Web環境的網際網路套用越來越廣泛，也讓Web套用的安全技術日趨成熟。目前網際網路上接連爆發的套用安全漏洞，讓各大企業的安全人員、運維人員、研發及管理人員都不得不重視這一領域，並為之投入了大量的人力和物力。日漸成熟的防護產品和解決方案，讓Web安全防護的整體環境有了很大的提升。網際網路上的網站模板，大部分都自帶了防SQL注入、跨站腳本等攻擊的功能，傳統的“工具黨”、“小白”已很難再通過簡單操作幾個按鈕就成功完成一次Web入侵。

隨著網際網路業務的不斷發展，網際網路上的商務活動也越來越多，所涉及的網路交易也越來越頻繁，交易的數額也越來越龐大，引發的安全事件也越來越多。而這些安全事件的攻擊者更傾向於利用業務邏輯層的安全漏洞，如網際網路上曝光的“1元購買特斯拉”、“微信無限刷紅包”、“支付寶熟人可重置登錄密碼”等業務安全層面的漏洞。基於傳統的滲透測試方法很難發現這些業務邏輯層面的問題，這類問題往往又危害巨大，可能造成企業的資產損失和名譽受損，並且傳統的安全防禦設備和措施對業務安全漏洞防護收效甚微。

業務安全問題在網際網路上也時有報導，不算新生事物，但目前缺乏一套體系化的介紹這門技術的書籍。我們通過多年的不同行業的安全服務經驗積累了大量的業務安全方面的經驗，於是萌生了編寫這本書的想法，把我們所有沉澱的業務安全測試經驗分享給愛好網路安全事業的白帽子們，讓大家一起成長，共同為國家網路安全事業貢獻綿薄之力。

本書的撰寫者均為軒轅攻防實驗室白帽子，這些白帽子具備多年的業務安全測試經驗，同時他們在國家信息安全漏洞共享平台（CNVD）報送過很多原創漏洞（2016年軒轅攻防實驗室報送原創漏洞排名第二）。這些白帽子平時低調做人、高調做事，聽說要編寫這本書時，大家群情激奮，熱烈回響，犧牲了很多的個人休息時間，經過了近一年的努力才總結完成了全面的、詳細的可以適用於不同行業和不同業務系統的業務安全測試理論、工具、方法及案例。在此也感謝所有參與撰寫本書的這些默默無聞，不求名、不逐利、默默分享的白帽子。在編寫本書的過程中，我們也在網際網路上發現了很多關於業務安全方面的經典案例，並選取了幾個非常不錯且比較典型的案例，經過我們整理總結後分享給各位讀者，有的案例原作者已經聯繫上了，有個別的也無從聯繫了，在此也對分享這些經典案例且默默在網際網路上耕耘和貢獻的白帽子表示衷心的感謝和發自內心的致敬。

在內容甄選時，拋開了一些純理論的內容，書中選取的場景案例多是作者在工作中實際遇到的問題加以改造的，目的是讓讀者通過對本書的學習，掌握實用的業務安全測試技術，協助企業規避業務安全層面的安全風險。

本書共15章，包括理論篇、技術篇和實踐篇。理論篇開篇首先介紹從事網路安全工作涉及的相關法律法規，請大家一定要做一個遵紀守法的白帽子，然後介紹業務安全引發的一些安全問題和業務安全測試相關的方法論及怎么去學好業務安全。技術篇和實踐篇選取的內容都是這些白帽子多年在電商、金融、證券、保險、遊戲、社交、招聘、O2O等不同行業、不同的業務系統存在的各種類型業務邏輯漏洞進行安全測試總結而成的，能夠幫助讀者理解不同行業的業務系統涉及的業務安全漏洞的特點。具體來說，技術篇主要介紹登錄認證模組測試、業務辦理模組測試、業務授權訪問模組測試、輸入/輸出模組測試、回退模組測試、驗證碼機制測試、業務數據安全測試、業務流程亂序測試、密碼找回模組測試、業務接口模組調用測試等內容。實踐篇主要針對技術篇中的測試方法進行相關典型案例的測試總結，包括賬號安全案例總結、密碼找回案例總結、越權訪問案例、OAuth 2.0案例總結、線上支付安全案例總結等。

通過對本書的學習讀者可以很好地掌握業務安全層面的安全測試技術，並且可以協助企業規避業務安全層面的安全風險。本書比較適合作為企業專職安全人員、研發人員、普通高等院校網路空間安全學科的教學用書和參考書，以及作為網路安全愛好者的自學用書。

由於水平有限，書中難免有不妥之處，加之網路攻防技術縱深寬廣，發展迅速，在內容取捨和編排上難免考慮不周全，誠請讀者批評指正。

軒轅攻防實驗室負責人 張作峰

2018年01月 於北京