登陆应用功能点安全问题(只要是登陆的地方都可以进行检测)
1.登陆点暴力破解
2.HTTP/HTTPS传输
3.Cookie脆弱点验证
4.Session固定点测试
5.验证密文比对安全测试
http登陆密码传输一般为明文传输,https登陆密码是密文传输。http登陆可以使用暴力破解进行尝试登陆
cookie脆弱点:根据代码可知,直接将cookie修改为将一个值赋给对应变量,可以直接登陆(代码审计)
————————
数据篡改安全问题
商品购买流程:选择商品和数量-选择支付及配送方式-生成订单编号-订单支付选择-完成支付
常见篡改参数:
商品编号ID,购买价格,购买数量,支付方式,订单号,支付状态
常见修改方式:
替换支付,重复支付,最小额支付,负数支付,溢出支付,优惠券支付等
修改数量为负数,可0元购
修改订单编号,先创建一个低价格的订单,然后创建一个高价格的订单,通过抓包修改订单号,支付低价格订单的钱够买高价格订单的东西
修改商品信息:将低价格商品的信息修改成高价格的
修改支付接口:将支付接口修改成自己的,可以支付到自己的账户上
修改支付状态:将支付状态修改成已支付,让对方误认为你已支付
标签:脆弱,修改,订单,登陆,支付,篡改,传输,越权 From: https://www.cnblogs.com/juejuezi/p/17109141.html