業務安全漏洞作為常見的Web安全漏洞，在各大漏洞平台時有報道，本書是一本從原理到案例分析，系統性地介紹這門技術的書籍。撰寫團隊具有10年大型網站業務安全測試經驗，成員們對常見業務安全漏洞進行梳理，總結出了全面、詳細的適用於電商、銀行、金融、證券、保險、游戲、社交、招聘等業務系統的測試理論、工具、方法及案例。本書共15章，包括理論篇、技術篇和實踐篇。理論篇首先介紹從事網絡安全工作涉及的相關法律法規，請大家一定要做一個遵紀守法的白帽子，然后介紹業務安全引發的一些安全問題和業務安全測試相關的方法論，以及怎麼去學好業務安全。技術篇和實踐篇選取的內容都是這些白帽子多年在電商、金融、證券、保險、游戲、社交、招聘、O2O等不同行業、不同的業務系統存在的各種類型業務邏輯漏洞進行安全測試總結而成的，能夠幫助讀者理解不同行業的業務系統涉及的業務安全漏洞的特點。具體來說，技術篇主要介紹登錄認證模塊測試、業務辦理模塊測試、業務授權訪問模塊測試、輸入/輸出模塊測試、回退模塊測試、驗證碼機制測試、業務數據安全測試、業務流程亂序測試、密碼找回模塊測試、業務接口模塊調用測試等內容。實踐篇主要針對技術篇中的測試方法進行相關典型案例的測試總結，包括賬號安全案例總結、密碼找回案例總結、越權訪問案例、OAuth 2.0案例總結、在線支付安全案例總結等。通過對本書的學習，讀者可以很好地掌握業務安全層面的安全測試技術，並且可以協助企業規避業務安全層面的安全風險。本書比較適合作為企業專職安全人員、研發人員、普通高等院校網絡空間安全學科的教學用書和參考書，以及作為網絡安全愛好者的自學用書。 陳曉光，恆安嘉新（北京）科技股份公司執行總裁，資深安全專家，畢業於北京郵電大學信息安全專業。長期從事網絡與信息安全方面的技術研究、項目管理和市場拓展工作。曾主導和參與多項重大國家標准、國家863項目和242安全課題；建設了多個全國性安全系統工程；為電信、金融和政府等多個行業提供安全建議。在安全風險評估、安全管理體系、安全標准、移動互聯網安全和通信安全等領域有着豐富的實踐經驗。擁有CISSP、CISA、ISO27001 LA等多項國際安全從業資質。胡兵恆，安嘉新（北京）科技股份公司安全攻防與應急響應中心總經理。負責公司安全產品解決方案、安全攻防技術研究、安全咨詢服務等工作。多年來，一直致力於安全攻防技術的研究，曾參與國家信息安全有關部門、各大電信運營商、高校多個課題研究項目。帶領安全研究團隊支撐「中國反網絡病毒聯盟平台ANVA」、「國家信息安全漏洞共享平台CNVD」運營工作，以及承擔國家重要活動期間的安全保障工作。