标签：07 如图所示 业务流程 订单号 充值 测试 乱序

一、流程乱序测试

1 、测试原理和方法 该项测试主要针对业务流程的处理流程是否正常，确保攻击者无法通过技术手段绕过某些重要流程步骤，检验办理业务过程中是否有控制机制来保证其遵循正常流程。例如业务流程分为三步：第一步，注册并发送验证码；第二步，输入验证码；第三步，注册成功。在第三步进行抓包分析，将邮箱或手机号替换为其他人的，如果成功注册，就跳过了第一步和第二步，绕过了正常的业务流程 2、测试过程 攻击者访问注册页面，注册测试账户，充值提交并抓取数据包，填写任意充值金额并抓包，获取订单号，利用订单号构造充值链接并访问链接，查看是否充值成功，如果充值成功说明存在业务流程绕过问题 以某社交网站为例，经过测试发现订单生成后流程走至链接http：//www.xxx.com/index.php？controller=site&action=payok&out_trade_no=，只要提供对应的充值订单号就可以绕过支付环节，未经支付直接充值成功。

步骤一：新注册一个账号进行测试，如图所示。

账号余额为0，如图所示。

步骤二：对账号充值并用Burp Suite工具进行数据包截取，金额可随意填写，如图所示。

步骤三：截获支付订单数据包，放弃支付，获取生成的订单号，如图所示。

步骤四：利用获取的订单号构造链接http：//www.xxx.com/index.php？controller=site&action=payok&out_trade_no=充值订单号，直接访问这个链接即可成功充值，如图所示

充值后的余额如图所示。

修复建议 针对此类漏洞，建议对敏感信息如身份 ID、账号密码、订单号、金额等进行加密处理，并在服务端对其进行二次比对。

二、总结

对于乱序测试只有一个子分类，也就是业务乱序测试，很简单。大体就是测试流程过程中，其业务顺序可以绕过或是不按规定的顺序也可以执行成功，则存在流程乱序的问题。

标签：07,如图所示,业务流程,订单号,充值,测试,乱序
From： https://www.cnblogs.com/xfbk/p/17917680.html