想必今年听到最多的是信息安全，尤其是年底，各大网站和电商都在推动运营/推广活动，所以一定会有利可图，必然会导致有技之士做一场。本文讨论了个人对商业产品安全的拙见。先说什么是安全测试？百度百科全书把安全性测试界定为：在IT软件产品从研发到发行阶段，尤其是产品研发阶段，对产品进行检验，验证其符合安全需求定义和产品质量标准。

然而，我认为这个过程太晚了。我们正在测试业务方向。做过业务测试的同学知道即将上线，才会发现安全测试问题，导致项目延误。这不是我们想看到的。因此，这里也可以使用预测试。在需求评估阶段，应提前发现一些业务逻辑漏洞。

不知攻怎么去防。在学习安全测试技术之前，我建议先培养安全思维。举个最简单的例子，如果警察想抓小偷，他们应该首先了解小偷的想法，以便更快地抓住小偷。换句话说，不知道如何防范未知的攻击。在培养安全思维时，我们需要练习的是先入为主的概念，即每个人都是坏人。这是什么意思？也就是说，使用我们产品的人都是坏人，所以当我们看到这个需求时，我们应该考虑如何使用我们的产品作为坏人。例如，需求-在书店买书。作为一个坏人，我想到的一定是如何不花一分钱就拿到这本书。所以问题来了，怎么能不花一分钱就拿到这本书呢？

(1)伪装工作人员类似于拥有root权限。

(2)用别人的钱买书类似于用户越权。

(3)直接塞兜里跑出去类似于数据泄露。

生活中经常发生的栗子可以看出，偷的思维与我们的互联网密切相关。接下来，我们来看看我们平时接触到的两个产品需求，以及如何从安全的角度思考我们的产品。关注利益的唯一性和确认性。产品需求文件：为了更有效地获取商机数据，招聘产品营销部门每月购买新的工商注册数据。为了更好地刺激新企业在平台上的活跃行为，利用数据资源。现在需要激活新企业，通过赠送促销优惠券吸引新企业下载应用程序并留存到企业类别页面。

看到上面的文件，我们能想到什么？

问：新企业：新企业的标准是什么？文件中只有新企业的注册，所以我注册房地产，注册个人也是注册，如何判断为企业。

答些白名单手机号注册的企业。

问:白名单手机号注册后，领取优惠券，然后注销注册，再次注册，领取优惠券。这个有上限吗？

答：漏了这块。

从上面的例子来看，我最想解释的是，我需要关注利益的唯一性和确认性。说白了，如何确定我的奖励一定只给这个人，有上限控制。所以网站项目在上线前一定要找网站安全公司来进行安全测试确保项目的安全性防止被黑客攻击。