即刻#每日一书#
7.25 Web攻防之业务安全指南
Web攻防之业务安全指南
这本书,这我这里也已经很久了,这本书相当的基础。 基础到什么程度呢,就是手把手教你,大量的步骤和图。
这本书主要是介绍业务安全,分为理论篇,技术篇和实践篇。 开头,介绍了业务安全测试的一些模型和流程。
技术篇主要就是介绍,像登录认证,业务办理,业务授权,SQL注入,回退测试,验证码,数据安全,流程乱序,密码找回,接口调用。
实践篇主要介绍账号安全,密码找回,越权,OAuth2.0 等等。
这种书,其实是适合小白学习挖洞当入门书,用来刷SRC其实也挺好的。
当然,这本书也可以叫Burp案例教程。主要是案例太简单了,这些案例都还可以深入的去了解,需要自己去不断的学习和联系。
业务安全这一块,我觉得不应该只有这些介绍的常规手段,这些东西是不可能挖到大厂的漏洞的,需要的是深入案例。
总的来说,这本书可能2个小时就看完了,当最最新手的入门书还可,有漏洞挖掘经验的人不推荐。
7.25 Web攻防之业务安全指南
Web攻防之业务安全指南
这本书,这我这里也已经很久了,这本书相当的基础。 基础到什么程度呢,就是手把手教你,大量的步骤和图。
这本书主要是介绍业务安全,分为理论篇,技术篇和实践篇。 开头,介绍了业务安全测试的一些模型和流程。
技术篇主要就是介绍,像登录认证,业务办理,业务授权,SQL注入,回退测试,验证码,数据安全,流程乱序,密码找回,接口调用。
实践篇主要介绍账号安全,密码找回,越权,OAuth2.0 等等。
这种书,其实是适合小白学习挖洞当入门书,用来刷SRC其实也挺好的。
当然,这本书也可以叫Burp案例教程。主要是案例太简单了,这些案例都还可以深入的去了解,需要自己去不断的学习和联系。
业务安全这一块,我觉得不应该只有这些介绍的常规手段,这些东西是不可能挖到大厂的漏洞的,需要的是深入案例。
总的来说,这本书可能2个小时就看完了,当最最新手的入门书还可,有漏洞挖掘经验的人不推荐。