安全防护——攻防测试用例

分享一下安全防护的测试用例，无论是自建防火墙还是购买第三方产品都可以用得到。

应用安全类需求：

1.owasp-top10防护能力，like（SQLin,xss,csrf...etc）

2.恶意CC防护能力（恶意CC类导致业务不可用）

3.操作系统防护能力（webserver补丁核查，sys_app漏扫，ARP防护，开放端口符合...etc）

4.域名解析服务安全防护（域名解析篡改,域名注册资料失效...etc）

5.0day漏洞攻击防护（web应用0day,webserver0day..etc）

业务安全类需求：

1.恶意注册（注册接口批量自动化注册）

2.撞库（自动化批量撞库登录页面）

3.防克隆（克隆官方网站，官方图片资源...etc）

4.防爬虫（批量爬商品信息，折扣优惠）

5.关键功能验证缺失防护（订单页面用户ID遍历，提交折扣订单）

6.订单内容篡改（0元购买）

7.商品活动超买超卖

8.优惠券批量下载/生成

9.业务逻辑问题导致的媷羊毛

10.接口设计不当导致用户信息泄露（批量刷新订阅信息，判断用户是否以及注册，注册接口批量尝试用户账户/邮件名）

11.优惠券使用逻辑问题（超时使用，多次复用）

12.基于动态IP池批量登录，注册，下单防护

13.业务内容篡改-页面篡改（虚假信息，低价甩卖，客服地址修改，客服工具恶意替换..etc）

14.内部接口暴露导致不可预估的风险

防护软件基本需求：

1.防护软件承受最大正常访问量（PV，UV）

2.防护软件过量后的处理策略（透明通路/节点故障）

3.复杂业务环境下旁路检测有效性。

4.SDK与防护软件授权唯一性（单节点软件只容许单SDK接入访问）

5.API接口使用ajax异步方式是否会导致业务不可访问

6.防护软件自身安全性测试（是否有各种安全方面问题）

7.短时间内高强度访问（秒杀/抢购）是否导致业务不稳定，误杀

8.软件维护周期与服务响应时间

9.补丁更新失败处理策略

10.对新html5技术支持范围，以及对新技术支持速度。