首页 > 其他分享 >逻辑越权之登陆脆弱及支付篡改

逻辑越权之登陆脆弱及支付篡改

时间:2023-02-10 15:46:34浏览次数:42  
标签:脆弱 修改 订单 登陆 支付 篡改 传输 越权

登陆应用功能点安全问题(只要是登陆的地方都可以进行检测)
1.登陆点暴力破解
2.HTTP/HTTPS传输
3.Cookie脆弱点验证
4.Session固定点测试
5.验证密文比对安全测试

http登陆密码传输一般为明文传输,https登陆密码是密文传输。http登陆可以使用暴力破解进行尝试登陆

cookie脆弱点:根据代码可知,直接将cookie修改为将一个值赋给对应变量,可以直接登陆(代码审计)
————————
数据篡改安全问题
商品购买流程:选择商品和数量-选择支付及配送方式-生成订单编号-订单支付选择-完成支付

常见篡改参数:
商品编号ID,购买价格,购买数量,支付方式,订单号,支付状态

常见修改方式:
替换支付,重复支付,最小额支付,负数支付,溢出支付,优惠券支付等

修改数量为负数,可0元购

修改订单编号,先创建一个低价格的订单,然后创建一个高价格的订单,通过抓包修改订单号,支付低价格订单的钱够买高价格订单的东西

修改商品信息:将低价格商品的信息修改成高价格的

修改支付接口:将支付接口修改成自己的,可以支付到自己的账户上

修改支付状态:将支付状态修改成已支付,让对方误认为你已支付

标签:脆弱,修改,订单,登陆,支付,篡改,传输,越权
From: https://www.cnblogs.com/juejuezi/p/17109141.html

相关文章

  • 逻辑越权之水平垂直越权
    越权:水平越权,垂直越权水平越权:可以跨越同级别用户垂直越权:跨越不同级别的用户水平:通过更换某个ID之类的身份标识,从而使A账号获取(修改、删除等)B账号数据垂直:使用低权限身份......
  • SaaS-API越权漏洞检测系统
    概述通过替换认证信息后重放请求,并对比数据包结果,判断接口是否存在越权漏洞特点支持HTTPS自动过滤图片/js/css/html页面等静态内容多线程检测,避免阻塞支持输出报表与完整的......
  • 《反脆弱》阅读笔记
    最近读了塔勒布的《反脆弱》,先说结论,虽然书中有部分作者的偏见,但总的来说,值得一读。反脆弱是塔勒布生造的一个形容词。反脆弱是脆弱的反义词,那什么是脆弱?生活中脆弱的事......
  • Web安全入门与靶场实战(16)- 越权访问漏洞
    我们接着上篇博文来继续研究靶机中的网站。首先网站中有个login登录页面,这里就可能会存在SQL注入漏洞。但是作为一个零基础入门课程,这里不准备展开介绍SQL注入,这个可以放在......
  • 读书之脆弱的力量
    推荐一本好书:脆弱的力量                           如有需要可自行下载                    pdf......
  • 越权问题是否可以通过加签来修复
    首先越权问题的正确修复方法是校验当前用户有没有当前接口权限、校验用户要修改的数据是否属于当前用户但当系统设计之初没有考虑到权限问题,而后期需要补救时,开发可能会......
  • 一种安全加密文件的方式,文件可以实现自校验,防止文件损坏和篡改
    项目地址这个项目是很久以前的,当时go能力有限,写的不尽人意。刚好最近有加密文件的需求,所以就完善了相关逻辑。之前的方案还依赖Seek(offsetint64,whenceint)(int64,......
  • 共享文件夹实现文件版本管理,避免被篡改、丢失
    要求:1、可上传文件2、可下载文件3、不可删除、不可替换4、不可修改里面内容实现步骤如下:1、建立一个系统普通用户,例如起名为share。2、在E盘建立一个共享文件夹。3、设......
  • 安全测试之重置和水平越权
    水平越权水平越权指的是攻击者尝试访问与他拥有相同权限的用户的资源,怎么理解呢?比如某系统中有个人资料这个功能,A账号和B账号都可以访问这个功能,但是A账号的个人信息......
  • PBFT 共识机制-保证区块链上的账值一致性不可篡改
    签名机制,数据篡改成本极高  2 3 4 5 ......