首页 > 其他分享 >【靶场部署】业务安全测试-大米CMS-V5.4电子商城

【靶场部署】业务安全测试-大米CMS-V5.4电子商城

时间:2023-12-17 22:55:06浏览次数:35  
标签:电子商城 phpstudy V5.4 点击 靶场 CMS

1 业务数据安全

概述:商品数量篡改测试是通过在业务流程中抓包修改订购商品数量等字段,以判断服务器是否存在商品订购数量篡改漏洞。
手段:将请求中的商品数量修改成任意非预期数额、负数等进行提交,查看业务系统能否以修改后的数量完成业务流程。
目的:该项测试主要针对商品订购的过程中,服务器对异常交易数据处理缺乏风控机制而导致相关业务逻辑漏洞。

2 实验介绍

2.1 实验目的

加深对业务数据安全重要性的理解;
掌握测试业务数据是否存在篡改交易数据漏洞的方法。

2.2 实验环境

1、实验靶场—本节实验靶场是在windos10系统上基于phpstudy搭建的一个简单网站,phpstudy的安装过程可以自行百度

2、下载damiCMS-V5.4版CMS电子商城代码。
链接:https://pan.baidu.com/s/1b-Z6RaFBZ6CsSIErY46Pyg?pwd=q8qq
提取码:q8qq
3、解压并复制文件夹到靶机中的根目录下。不同版本的phpstudy软件的安装时生成的目录可能存在差异,本文dami_5.4路径如下

 4、真实机浏览器输入192.168.1.6/dami_5.4访问damiCMS,因为还没安装,需要先按以下步骤安装CMS

页面滑到最下方,勾选并点击继续

 5、填写信息:
(1)phpstudy中数据库的账号及密码,默认可以设置为root,数据库名填写dami。
(2)管理员用户及密码均设置为admin。页面滑到最下方,勾选并点击继续

 6、安装完成,点击访问网站首页

 7、点击右上角注册,填写用户名、密码、邮箱,并点击确定注册。

 8、点击右上角进入登录页面,试试登录刚刚的账号

 

标签:电子商城,phpstudy,V5.4,点击,靶场,CMS
From: https://www.cnblogs.com/xfbk/p/17910054.html

相关文章

  • CMS系统搭建教程
    1、环境说明centos7.92核2G,php7.2,mysql5.7.40,nginx1.22.1,宝塔8.0.42、创建站点创建站点得时候顺便创建数据库,记录数据库链接信息3、上传fastadmin框架上传fastadmin_1_3_3_20220121.zip到创建的站点,然后解压4、配置站点5、配置伪静态6、安装fastmin框架输入创建站......
  • H7-TOOL发布2.24固件,增加CMSIS-SVD解析,RTOS Trace链表,I2C/SPI从机,CANopen解析等,脱机烧
    H7-TOOL详细介绍(含操作手册):http://www.armbbs.cn/forum.php?mod=viewthread&tid=89934视频介绍:https://www.bilibili.com/video/BV1494y1j7mj【PC软件】V2.2.41.脱机烧录功能升级  -新增GD32C10x系列  -新增钜泉光电HT502x  -新增英飞凌TLE987x系列  -新......
  • 有带AI功能的cms建站系统推荐吗?
    当涉及到带有AI功能的CMS建站系统时,以下是几个流行的选择:Wix:Wix是一个易于使用的网站建设平台,它提供了人工智能设计功能(WixADI),可以根据用户的需求和偏好自动创建网站设计。用户可以回答一些问题,然后WixADI将为他们生成一个定制的网站设计。Squarespace:Squarespace也是一个受......
  • Pbootcms商城插件安装使用教程
    pbootcms商城插件上线,可以实现简单的商品管理、商品购买、加入购物车、购物车批量购买、以及后台的订单管理,发货管理、改价功能,支付信息管理等功能,满足商城基本功能安装流程:1、上传代码到你的网站根目录下2、导入数据库,数据库总共有四个表,ay_order:订单表,ay_order_data:订单附表,ay_......
  • 如何避免 Spartacus 重复发送 CMS page 请求
    如下图所示,启用了SSR之后,Spartacus在CSR模式下re-hydration时,会重复发送一次CMSpage请求:可以参考这个StackOverflow的讨论,通过下面的代码来阻止CSR模式下重复发送page请求:provideConfig(<RoutingConfig>{routing:{loadStrategy:RouteLoadStrategy.ONC......
  • pbootcms 前台筛选功能扩展到任意字段
    上一篇中提到后台增加了自定义的筛选条件,选择的是author字段,在前台同样需要依据author内容筛选,默认的pboot:selectfield=*仅支持ext_抬头且是选择类型的字段,在前台如果用pboot:selectfield=author是无显示的。apps-home-controller-parsercontroller.php#995addliselect......
  • 搭建 Makefile+OpenOCD+CMSIS-DAP+Vscode arm-none-eabi-gcc 工程模板
    STM32F407-GCC-TemplateArm-none-eabi-gcc+Makefile+OpenOCD+CMSIS-DAP+Vscode工程模板一、本次环境搭建所用的软硬件1)WindowsorLinux(本文以Windows为主)2)JLink、Daplink、Wch-Link烧录器3)GNUArmEmbeddedToolchain交叉编译器4)Mingw-w64GCCforWindows645)Debug......
  • pbootcms 后台内容列表搜索功能扩展及增加显示字段功能
    应项目要求,一个内容模型下栏目不宜分的层级过多,如新闻模块,分2022、2023、2024年度,每年度下分12个月,这样就是2层栏目,再依类别(科技、动漫、电影...)划分层级,栏目数量较多,而且不易管理,需要拓展功能,取content下author字段来区分类别,用不同的帐户添加新闻,默认author值=账户名称。记录......
  • 模拟攻击beescms框架网站,并且一步一步渗透测试,上传shell,连接蚁剑,拿到对方网站根目录
    打开网站发现它是beescms框架搭建的网站,一言不合直接用webpathbrute扫描发现了管理员登录页面尝试任意用户名密码登录发现不太行,直接暴力破解,先burp抓数据包发现有4个参数有user,password,code,submit,把submit=ture修改为submit=false验证码就不会刷新了就是284c。接下来......
  • [ARC122E] Increasing LCMs
    ProblemStatementWehaveasequenceof$N$positiveintegers:$A_1,A_2,\cdots,A_N$.Youaretorearrangetheseintegersintoanothersequence$x_1,x_2,\cdots,x_N$,where$x$mustsatisfythefollowingcondition:Letusdefine$y_i=\operatorname{LCM}(x......