業(yè)務(wù)流程風(fēng)險(xiǎn)問題及表現(xiàn)形式？

（1）業(yè)務(wù)環(huán)節(jié)存在的安全風(fēng)險(xiǎn)

業(yè)務(wù)環(huán)節(jié)存在的安全風(fēng)險(xiǎn)指的是業(yè)務(wù)使用者可見的業(yè)務(wù)存在的安全風(fēng)險(xiǎn)，如注冊(cè)、登錄和密碼找回等身份認(rèn)證環(huán)節(jié)，是否存在完善的驗(yàn)證碼機(jī)制、數(shù)據(jù)一致性校驗(yàn)機(jī)制、Session 和 Cookie 校驗(yàn)機(jī)制等，是否能規(guī)避驗(yàn)證碼繞過、暴利破解和 SQL注入等漏洞。

（2）支持系統(tǒng)存在的安全風(fēng)險(xiǎn)

支持系統(tǒng)存在的安全風(fēng)險(xiǎn)，如用戶訪問控制機(jī)制是否完善，是否存在水平越權(quán)或垂直越權(quán)漏洞。系統(tǒng)內(nèi)加密存儲(chǔ)機(jī)制是否完善，業(yè)務(wù)數(shù)據(jù)是否明文傳輸。系統(tǒng)使用的業(yè)務(wù)接口是否可以未授權(quán)訪問/調(diào)用，是否可以調(diào)用重放、遍歷，接口調(diào)用參數(shù)是否可篡改等。

（3）業(yè)務(wù)環(huán)節(jié)間存在的安全風(fēng)險(xiǎn)

業(yè)務(wù)環(huán)節(jié)間存在的安全風(fēng)險(xiǎn)，如系統(tǒng)業(yè)務(wù)流程是否存在亂序，導(dǎo)致某個(gè)業(yè)務(wù)環(huán)節(jié)可繞過、回退，或某個(gè)業(yè)務(wù)請(qǐng)求可以無限重放。業(yè)務(wù)環(huán)節(jié)間傳輸?shù)臄?shù)據(jù)是否有一致性校驗(yàn)機(jī)制，是否存在業(yè)務(wù)數(shù)據(jù)可被篡改的風(fēng)險(xiǎn)。

（4）支持系統(tǒng)間存在的安全風(fēng)險(xiǎn)

支持系統(tǒng)間存在的安全風(fēng)險(xiǎn)，如系統(tǒng)間數(shù)據(jù)傳輸是否加密、系統(tǒng)間傳輸?shù)膮?shù)是否可篡改。系統(tǒng)間輸入?yún)?shù)的過濾機(jī)制是否完善，是否可能導(dǎo)致 SQL 注入、XSS跨站腳本和代碼執(zhí)行漏洞。

（5）業(yè)務(wù)環(huán)節(jié)與支持系統(tǒng)間存在的安全風(fēng)險(xiǎn)業(yè)務(wù)環(huán)節(jié)與支持系統(tǒng)間存在的風(fēng)險(xiǎn)，如數(shù)據(jù)傳輸是否加密、加密方式是否完善，是否采用前端加密、簡(jiǎn)單MD5編碼等不安全的加密方式。系統(tǒng)處理多線程并發(fā)請(qǐng)求的機(jī)制是否完善，服務(wù)端邏輯與數(shù)據(jù)庫讀寫是否存在時(shí)序問題，導(dǎo)致競(jìng)爭(zhēng)條件漏洞。系統(tǒng)間輸入?yún)?shù)的過濾機(jī)制是否完善。