基于Burpsuite的安全测试十三:业务数据安全测试

最新推荐文章于 2023-12-05 19:49:26 发布
最新推荐文章于 2023-12-05 19:49:26 发布
阅读量537 收藏 3
点赞数
分类专栏: 安全测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chang_jinling/article/details/93239202
版权

基于Burpsuite的安全测试十三:业务数据安全测试

情景1:商品支付金额篡改测试

  1. 在支付页面抓包并篡改支付金额,继续跳转到支付平台完成支付,可以实现用低价买入高价商品。

系统修复方案:

商品信息、如金额、折扣等原始数据的校验应来自服务器端,不应该相信客户端传来的内容。

 

情景2:商品订购数量篡改测试

  1. 在购物车抓包并将商品数量更改为非预期数额或者负数进行提交,如果后台对这些异常订单做了处理则未能支付成功,如未作处理则支付成功。

系统修复方案:

对应异常情景的交易,如用户金额为负数、用户购买库存为0的商品、用户购买的商品数量为负数等,服务器应该做阻断、限制等操作。

 

情景3:前端JS限制绕过测试

  1. 如果用户购买的商品数量只在前端的JS脚本上做限制,未在服务器端校验用户提交的数量,则可以通过抓取客户端发送的请求包修改JS端生成处理的交易数据,将商品数量改为异常值,完成交易。

系统修复方案:

商品信息、如金额、折扣、数量等原始数据的校验应来自服务器端,步应该相信客户端传来的内容。如果跨平台支付,涉及平台之间接口调用,对参数的完整性校验一定要做好,确保业务重要数据再平台间传输一致。

 

情景4:请求重放测试

  1. 如果对每笔交易缺乏唯一性判断的有效机制,就会导致一次购买多次收货等异常逻辑结构。
  2. 生成订购请求页面抓包,可以观察每次订购相同的商品请求是否存在不同的随机token、可变参数,若有则检查这写参数的变化情况和失效文化课
最低0.47元/天 解锁文章
无名小卒Rain
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于Burpsuite安全测试十:输入/输出模块测试
chang_jinling的专栏
06-16 460
基于Burpsuite安全测试十:输入/输出模块测试 情景1:SQL注入测试 基本概念 sql注入就是把SQL命令插入web表单提交或输入域名页面请求的查询字符串,最终达到欺骗服务器执行恶意SQL命令的目的。本质就是修改当前查询语句的结构,从而获得额外的信息或执行内容。 sql注入按照请求类型分为GET型、POST型、Cookie注入型。GET型和POST型区别是由表单的提交方式决定的。...
业务安全测试
Q1n6
03-07 1130
1.      外部渠道收集域名并整理(https://shimo.im/doc/GVWv56rYdo4vivAt):搜索引擎、域名遍历工具(fierce dnsmap等)、抓包工具(ZAP)、github搜索 2.      扫描端口开放情况(nmap),以及端口对应服务版本 3.      对外网IP扫描开放的TCP端口 4.      根据TCP端口判断服务类型,评估服务是否有开放必要
基于Burpsuite安全测试一:环境准备
chang_jinling的专栏
06-15 459
基于Burpsuite安全测试一:环境准备 需要jre环境,下载jre并配置环境变量等。链接:https://pan.baidu.com/s/19cKkpvGdCkEu6Fr44DHsvg 提取码:dtmd 复制这段内容后打开百度网盘手机App,操作更方便哦。 官网下载burp suite或者网盘下载并根据手册安装,安装成功后建立快捷方式方便启动。网盘地址:链接:https://pa...
业务安全-02】业务数据安全测试及商品订购数量篡改实例
m0_64378913的博客
06-25 1139
业务中的数据安全不仅是存储在后台和数据库中的数据是否会被非法窃取或修改,还包括传输过程中的数据是否被非法窃取或修改。概述:电商类网站在业务流程整个环节,需要对业务数据的完整性(不允许篡改)和一致性(前后一致)进行保护,特别是确保在用户客户端与服务、业务系统接口之间的数据传输的一致性,通常在订购类交易数据流程中,容易出现服务端未对用户提交的业务数据进行强制检验,过度信赖客户端提交的业务数据而导致的商品金额篡改漏洞。手段:商品金额篡改测试,是通过抓包修改业务流程中的交易金额等字段,来检测是否存在金额篡改漏洞。目
Burp Suite安全测试(一)
weixin_42996498的博客
09-09 1743
Burp Suite 的安装和配置: Burp Suite主要用来做安全性渗透测试,可以实现拦截请求、Burp Spider爬虫、漏洞扫描(付费)等, 一:Burp Suite 的安装 1.配置Java环境 本人安装JDK1.8版本。安装完成后,在电脑上需要验证Java环境。如图所示: 2.安装Burp Suite Burp Suite工具安装下载地址:https://portswigger....
Web安全测试规范
05-20
3.5 数据安全测试 确认数据在传输、存储和处理过程中的加密和完整性,防止数据泄露或篡改。 3.6 安全配置检查 检查服务器、数据库及其他组件的配置是否符合安全最佳实践,如防火墙设置、操作系统安全更新等。 3.7 ...
Web应用安全模糊测试之路.zip
10-25
2. **测试工具**:存在许多开源和商业的模糊测试工具,例如OWASP ZAP、Fiddler、Burp Suite等,这些工具可以帮助自动化测试过程,提高效率。其中,OWASP ZAP是一款强大的自动安全扫描器,适用于Web应用的安全测试。 ...
webfuzz模糊测试工具
03-19
在实际使用中,WebFuzz可能需要配合其他工具,如代理服务器(如Burp Suite)来拦截和修改网络流量,或者使用日志分析工具来收集和分析测试结果。此外,为了提高测试效果,使用者还需要对目标Web应用的业务逻辑有一定...
Java:测试Java Web
02-24
OWASP ZAP或Burp Suite是常用的自动化安全扫描工具。 8. **持续集成与持续部署(CI/CD)**: - Jenkins、GitLab CI/CD 或 Travis CI 可以集成测试流程,确保每次代码提交后都能自动运行测试,并在发现问题时及时通知...
testwebsite:测试测试
02-09
OWASP ZAP、Burp Suite等工具可以帮助进行安全审计。 尽管没有具体的文件名列表,但通常在"testwebsite-main"这样的目录下,可能包括以下文件和文件夹:`index.html`(主页)、`style.css`和`script.js`(样式和...
业务安全-01】业务安全概述及测试流程
m0_64378913的博客
06-25 1098
近年来,随着信息化技术的迅速发展和全球一体化进程的不断加快,计算机和网络已经成为与所有人都息息相关的工具和媒介,个人的工作、生活、娱乐,企业的生产、管理,乃至国家的发展和改革都无处其外。 信息和互联网带来的不仅仅是便利和高效,大量隐私、敏感和高价值的信息数据资产成为恶意攻击者攻击和威胁的主要目标,从早期以极客为核心的黑客黄金时代,待现在利益链驱动的庞大黑色产业,网络安全已经成为任何个人、企业、组织和国家必须面临的重要问题。随着互联网+的发展,经济形态不断发生演变。众多传统行业逐步地融入互联网,并利用信息通信
功能测试的过程中有关数据安全性的检查点
weixin_30257433的博客
07-30 276
1.web端的页面,如密码数据框对密码的设置以及校验   1).目前的密码复杂度太简单,只支持英文字符、数字,和长度在6到18位之间。请修改为:支持英文字符、数字、特殊字符,英文字符需要区分大小写,长度在6到18位之间。     使用http://www.cmd5.com/破解密码,分分钟破解. 2.在数据库表中的一些如电话号码以及密码,qq号码等涉及用户隐私的,使用铭文存储   1).在...
安全测试的方法
yyj173637的博客
04-08 586
1. 功能验证功能验证是采用软件测试中的黑盒测试方法,对涉及安全的软件功能,如:用户管理模块、权限管理模块、加密系统、认证系统等进行测试,主要是验证上述功能是否有效。2. 漏洞扫描安全漏洞扫描通常是借助于特定的漏洞扫描器完成的。漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描器,系统管理员能够发现所维护信息系统存在的安全漏洞,从而在信息系统网络安全防护中做到有的放矢,及时修补漏洞。漏洞扫描器分为两种类型:主机漏洞扫描器和网络漏洞扫描器。
常见的web安全测试
focus on security
05-11 1032
序号 测试项 描述 1 SQL注入检测 数据库注入测试 2 文件类型注入 xml注入、文件数据库注入测试 3 账户授权测试 暴力猜接、越权访问、伪造登陆信息、用户数据存储等 4 数据传输测试 传输的数据是...
数据安全峰会2022 | 美创DSM获颁“数据安全产品能力验证计划”评测证书
美创科技的博客
08-01 259
继2022数博会“领先科技成果奖”后,美创DSM近日获颁信通院“数据安全产品能力验证计划”评测证书,数据安全管控能力再获权威认可。
如何使用Burp Suite Scanner进行安全测试
weixin_30675967的博客
11-23 462
1.运行BurpSuite。 直接点击jar运行: 2. 设置代理: BurpSuite配置: 进入proxy -> options,IP 设置(扫描burpSuite本机浏览器使用127.0.0.1,扫描远程浏览器设置成burpSuite这台机器的ip地址). intercept设置为off 浏览器设置(chrome为例):进入浏览器设置,按下列步骤进行(如果是本机...
安全测试工具--BurpSuite使用
u013465115的博客
01-25 1346
BurpSuit是用于攻击web应用程序的集成平台,包含了很多的Burp工具,通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击。这些工具设计了许多接口,以促进加快攻击应用程序的过程。它主要用来做安全性渗透测试。 1、Burpsuite安装及进入 在官网直接进行下载,是付费软件,也可以找破解版进行安装。 安装成功后进入burpsuite的主界面(我使用的是community edition),如下: 点击下一步,单击startBurp就可以进入burpsuite了:
利用burpsuite的turbo-intruder插件进行高并发爆破
m0_63421985的博客
10-18 4077
在Host下方输入:x-req: %s。
保护你的数据:深入了解安全测试
最新发布
myh919的博客
12-05 891
安全测试是一种非功能性测试。与功能测试不同,功能测试关注的是软件的功能是否正常工作(软件做什么),非功能测试关注的是应用程序是否被正确设计和配置。
Burp Suite 插件开发与网络安全渗透测试指南
《Burp Suite 插件开发.pdf》是关于网络安全渗透测试和Burp Suite插件开发的文件。该文件包括设置开发环境和配置Java和Python的说明。文件中还介绍了IBurpExtender、IBurpExtenderCallbacks和IExtensionHelpers等...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值