分享一下安全防護(hù)的測(cè)試用例勾习,無論是自建防火墻還是購(gòu)買第三方產(chǎn)品都可以用得到。
應(yīng)用安全類需求:
1.owasp-top10防護(hù)能力懈玻,like(SQLin,xss,csrf...etc)
2.惡意CC防護(hù)能力(惡意CC類導(dǎo)致業(yè)務(wù)不可用)
3.操作系統(tǒng)防護(hù)能力(webserver補(bǔ)丁核查,sys_app漏掃乾颁,ARP防護(hù)涂乌,開放端口符合...etc)
4.域名解析服務(wù)安全防護(hù)(域名解析篡改,域名注冊(cè)資料失效...etc)
5.0day漏洞攻擊防護(hù)(web應(yīng)用0day,webserver0day..etc)
業(yè)務(wù)安全類需求:
1.惡意注冊(cè)(注冊(cè)接口批量自動(dòng)化注冊(cè))
2.撞庫(kù)(自動(dòng)化批量撞庫(kù)登錄頁(yè)面)
3.防克隆(克隆官方網(wǎng)站英岭,官方圖片資源...etc)
4.防爬蟲(批量爬商品信息湾盒,折扣優(yōu)惠)
5.關(guān)鍵功能驗(yàn)證缺失防護(hù)(訂單頁(yè)面用戶ID遍歷,提交折扣訂單)
6.訂單內(nèi)容篡改(0元購(gòu)買)
7.商品活動(dòng)超買超賣
8.優(yōu)惠券批量下載/生成
9.業(yè)務(wù)邏輯問題導(dǎo)致的媷羊毛
10.接口設(shè)計(jì)不當(dāng)導(dǎo)致用戶信息泄露(批量刷新訂閱信息诅妹,判斷用戶是否以及注冊(cè)罚勾,注冊(cè)接口批量嘗試用戶賬戶/郵件名)
11.優(yōu)惠券使用邏輯問題(超時(shí)使用,多次復(fù)用)
12.基于動(dòng)態(tài)IP池批量登錄吭狡,注冊(cè)尖殃,下單防護(hù)
13.業(yè)務(wù)內(nèi)容篡改-頁(yè)面篡改(虛假信息,低價(jià)甩賣划煮,客服地址修改送丰,客服工具惡意替換..etc)
14.內(nèi)部接口暴露導(dǎo)致不可預(yù)估的風(fēng)險(xiǎn)
防護(hù)軟件基本需求:
1.防護(hù)軟件承受最大正常訪問量(PV,UV)
2.防護(hù)軟件過量后的處理策略(透明通路/節(jié)點(diǎn)故障)
3.復(fù)雜業(yè)務(wù)環(huán)境下旁路檢測(cè)有效性弛秋。
4.SDK與防護(hù)軟件授權(quán)唯一性(單節(jié)點(diǎn)軟件只容許單SDK接入訪問)
5.API接口使用ajax異步方式是否會(huì)導(dǎo)致業(yè)務(wù)不可訪問
6.防護(hù)軟件自身安全性測(cè)試(是否有各種安全方面問題)
7.短時(shí)間內(nèi)高強(qiáng)度訪問(秒殺/搶購(gòu))是否導(dǎo)致業(yè)務(wù)不穩(wěn)定器躏,誤殺
8.軟件維護(hù)周期與服務(wù)響應(yīng)時(shí)間
9.補(bǔ)丁更新失敗處理策略
10.對(duì)新html5技術(shù)支持范圍,以及對(duì)新技術(shù)支持速度蟹略。
