分享一下安全防护的测试用例,无论是自建防火墙还是购买第三方产品都可以用得到。
应用安全类需求:
1.owasp-top10防护能力,like(SQLin,xss,csrf...etc)
2.恶意CC防护能力(恶意CC类导致业务不可用)
3.操作系统防护能力(webserver补丁核查,sys_app漏扫,ARP防护,开放端口符合...etc)
4.域名解析服务安全防护(域名解析篡改,域名注册资料失效...etc)
5.0day漏洞攻击防护(web应用0day,webserver0day..etc)
业务安全类需求:
1.恶意注册(注册接口批量自动化注册)
2.撞库(自动化批量撞库登录页面)
3.防克隆(克隆官方网站,官方图片资源...etc)
4.防爬虫(批量爬商品信息,折扣优惠)
5.关键功能验证缺失防护(订单页面用户ID遍历,提交折扣订单)
6.订单内容篡改(0元购买)
7.商品活动超买超卖
8.优惠券批量下载/生成
9.业务逻辑问题导致的媷羊毛
10.接口设计不当导致用户信息泄露(批量刷新订阅信息,判断用户是否以及注册,注册接口批量尝试用户账户/邮件名)
11.优惠券使用逻辑问题(超时使用,多次复用)
12.基于动态IP池批量登录,注册,下单防护
13.业务内容篡改-页面篡改(虚假信息,低价甩卖,客服地址修改,客服工具恶意替换..etc)
14.内部接口暴露导致不可预估的风险
防护软件基本需求:
1.防护软件承受最大正常访问量(PV,UV)
2.防护软件过量后的处理策略(透明通路/节点故障)
3.复杂业务环境下旁路检测有效性。
4.SDK与防护软件授权唯一性(单节点软件只容许单SDK接入访问)
5.API接口使用ajax异步方式是否会导致业务不可访问
6.防护软件自身安全性测试(是否有各种安全方面问题)
7.短时间内高强度访问(秒杀/抢购)是否导致业务不稳定,误杀
8.软件维护周期与服务响应时间
9.补丁更新失败处理策略
10.对新html5技术支持范围,以及对新技术支持速度。
