登陆应用功能点安全问题
登陆点暴力破解
http/https传输
Cookie脆弱点验证
代码审计分析漏洞
如果不知道代码,可以通过分析数据包。
Session固定点测试
验证密文比对安全测试
数据篡改安全问题
https://www.secpulse.com/archives/67080.html
商品购买流程
选择商品和数量——选择支付及配送方式——生成订单编号——订单支付选择——完成支付
常见篡改参数
商品编号ID
把小米手机的ID编号,替换成苹果手机的ID编号
购买价格
低价购买高价商品
支付方式
找到支付接口的规律,然后再将支付接口改为其他已知用户信息来进行付款
订单号
低价格的订单号替换成高价格的订单号(修改完价格、数量、商品编号等),用低价格的订单号去替换。
支付状态
未支付修改为已支付。
常见修改方法
替换支付、重复支付、最小额支付、负数支付、溢出支付、优惠券支付等
防范:
在后端对用户提交的信息进行确认,比如查出商品编号、商品价格、数量等,与用户提交过来的数据进行对比,如果发现不一致,则判定交易失败。
使用token来保证数据包的唯一性(不被篡改)。