邮箱和用户篡改测试

最新推荐文章于 2020-11-24 17:33:31 发布
最新推荐文章于 2020-11-24 17:33:31 发布
阅读量530 收藏
点赞数 1
分类专栏: web 漏洞 及 修复 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hyg1165269653/article/details/90373031
版权

邮箱和用户篡改测试

在发送邮件或站内消息时,篡改其中的发件人参数,导致攻击者可以伪造发信人进行 钓鱼攻击等操作,这也是一种平行权限绕过漏洞。用户登录成功后拥有发信权限,开发者 就信任了客户端传来的发件人参数,导致业务安全问题出现

 修复建议

用户登录后写信、发送消息时要通过Session机制判断用户身份。如果需要客户端传 输邮箱、发件人,服务端需要校验邮箱、发件人是否和登录者的身份一致,如发现不一致 则拒绝请求,防止被攻击者篡改用于钓鱼攻击。

墨玉呀
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
渗透测试业务逻辑之业务办理模块测试
发哥微课堂
07-31 917
0x00:前言 上周做渗透,有一个 sql 注入,负责安全审核的人给开发说你们的程序既然还有 sql 注入,我一年也看不见几个。这句话让我又再次深刻的认识到,渗透测试常规的一些注入跨站漏洞不如以前那么盛了,有点经验的开发写东西都会去考虑到了,再加上修复方法也在逐渐的完善,逻辑类的东西也应该并重的去测。 0x01:分类 我把逻辑类的问题大概总结了一下,大概可以分为十个模块,分别是登录认证模块测...
2021年软件测试面试题大全
热门推荐
hard_days的博客
11-30 20万+
简述测试流程: 1、阅读相关技术文档(如产品PRD、UI设计、产品流程图等)。 2、参加需求评审会议。 3、根据最终确定的需求文档编写测试计划。 4、编写测试用例(等价类划分法、边界值分析法等)。 5、用例评审(主要参与人员:开发、测试、产品、测试leader)。 6、开发提交代码至SVN或者GIT ,配管搭建测试环境。 7、执行测试用例,记录发现的问题。 8、验证bug与回归测试。 9、编写测试报告。 10、产品上线。 补充测试用例设计过程: 根据需求得出测试需求 设计测试
交易邮件篡改,18万美元转给黑客
互联网安全研究院
12-20 1374
在对外商务交往中,针对邮件的诈骗犯罪十分常见,人们在这类邮件沟通中也往往慎之又慎,每一封涉及交易邮件都会检查再三,但如果邮件内容被偷偷篡改了,你还有办法检查出来吗?
如何实现邮件的实时监控_如何用l脚本实现对某web站点目录下监控是否篡改并发送邮件...
weixin_39975868的博客
11-24 296
概述因业务需要,需监控某web站点目录下所有文件是否被恶意篡改(文件内容被改了),如果有就打印改动的文件名(发邮件),定时任务每3分钟执行一次。下面简单介绍下实现过程。一、生成md5验证文件1、文件的校验文件find /var/html/www/* -type f |xargs md5sum >/tmp/check/web_file_check.md5sum2、目录的校验文件tree /va...
酷狗接口api记录
侠亦狐的博客
04-25 3525
1、歌名、歌手搜索接口: http://songsearch.kugou.com/song_search_v2?keyword=歌曲名称&page=1&pagesize=1&userid=-1&clientver=&platform=WebFilter&tag=em&filter=2&iscorrection=1&priv...
密文比对认证测试
酷狗直播-锦凡歆的博客
05-20 481
密文比对认证测试 在系统登录时密码加密流程一般是先将用户名和密码发送到服务器,服务器会把用户 提交的密码经过Hash算法加密后和数据库中存储的加密值比对,如果加密值相同,则判 定用户提交密码正确。 但有些网站系统的流程是在前台浏览器客户端对密码进行Hash加密后传输给服务器 并与数据库加密值进行对比,如果加密值相同,则判定用户提交密码正确。此流程会泄漏 密码加密方式,导致出现安全隐患 作...
接口调用参数篡改测试
酷狗直播-锦凡歆的博客
05-28 722
接口调用参数篡改测试 在短信、邮件调用业务环节中,例如短信验证码、邮件验证码。修改对应请求中手机号或邮箱地址参数值提交后,如果修改后的手机号或邮箱收到系统发送的信息,则表示接口数据调用参数可篡改。 作者: 锦凡歆在‘来疯’直播唱歌最好听 修复建议 (1)会话Session中存储重要的凭证,在忘记密码、重新发送验证码等业务中,从 Session获取用户凭证而不是从客户请求...
以“用户登录”测试谈用例编写
Chaqian的博客
05-15 3120
作为测试工程师,大家设计测试用例的目标是保证系统在各种应用场景下的功能是符合设计要求,所以大家在设计测试用例的时候就需要保证用例覆盖尽可能的更多、更全面。以“用户登录”为例,一般在对输入框进行测试时,都能用到等价类和边界值的方法,这两个方法也是最常用、最典型的黑盒测试方法。 等价类与边界值的定义 等价类划分方法,是将所有可能的输入数据划分成若干个子集,在每个子集中,如果任意一个输入数据对于揭露程序中潜在错误都具有同等效果,那么这样的子集就构成了一个等价类。后续只要从每个等价类中任意选取一个值进行测试,就可以
项目实战安全测试用例
04-01
我们可以验证对 Cookie 中会话身份认证标识进行篡改测试。 九、密文对比认证测试 密文对比认证测试安全测试中非常重要的一步,旨在检测系统的密文对比认证机制是否安全。我们可以验证系统登录时密码加密流程是否...
测试用例总结.docx
08-23
本文档对三个测试用例进行了总结:ATM 机测试用例、杯子测试用例和手机开机键测试用例。 ATM 机测试用例 功能测试: * ATM 机识别卡的类型 * 密码验证(身份登录、是否为掩码、输入错误密码时是否提示、连续三次...
web测试常用的用例及知识(全)
03-10
这些测试用例和知识点是Web测试的核心组成部分,旨在确保Web应用程序的稳定、安全用户体验。在实际工作中,测试人员需要根据项目需求和风险评估来制定详尽的测试计划,确保所有关键功能和潜在问题都得到充分考虑。
《网络安全法》知识测试题.pdf
10-20
网络运营者有责任保护用户信息,不得泄露、篡改或毁损收集的个人信息。在内外网使用上,严禁在不同网络设备间交叉使用普通存储设备或扫描仪,以防信息泄露。 在电子邮件系统管理上,应禁止使用未经内容审计的邮件...
内部测试题PHP(docx)
11-08
Cookie存储在客户端,数据可被篡改,用于保存用户状态和设置,如登录状态。 3. 事务 数据库事务是一系列操作的集合,这些操作要么全部执行,要么全部不执行,确保数据的一致性和完整性。常用于多步骤的数据库操作...
接口未授权访问/调用测试
酷狗直播-锦凡歆的博客
05-28 4057
接口未授权访问/调用测试 在正常的业务中,敏感功能的接口需要对访问者的身份进行验证,验证后才允许调用 接口进行操作。如果敏感功能接口没有身份校验,那么攻击者无须登录或者验证即可调用 接口进行操作。在安全测试中,我们可以使用Burp Suite作为HTTP代理,在登录状态下记 录所有请求和响应信息,筛选出敏感功能、返回敏感数据的请求。在未登录的情况下,使 用浏览器访问对应敏感功能的请求,如果返回的...
验证码暴力破解测试
酷狗直播-锦凡歆的博客
05-23 2859
验证码机制主要被用于防止暴力破解、防止DDoS攻击、识别用户身份等,常见的验 证码主要有图片验证码、邮件验证码、短信验证码、滑动验证码和语音验证码。 以短信验证码为例。短信验证码大部分情况下是由4~6位数字组成,如果没有对验证 码的失效时间和尝试失败的次数做限制,攻击者就可以通过尝试这个区间内的所有数字来 进行暴力破解攻击。 作者: 锦凡歆在‘来疯’直播唱歌最好听 ...
非授权访问测试
酷狗直播-锦凡歆的博客
05-23 2136
非授权访问测试 非授权访问是指用户在没有通过认证授权的情况下能够直接访问需要通过认证才能访 问到的页面或文本信息。可以尝试在登录某网站前台或后台之后,将相关的页面链接复制 到其他浏览器或其他电脑上进行访问,观察是否能访问成功 作者: 锦凡歆在‘来疯’直播唱歌最好听 修复建议 未授权访问可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷,导致其 他用户可以直接...
商品支付金额篡改测试
酷狗直播-锦凡歆的博客
05-27 1761
商品支付金额篡改测试 电商类网站在业务流程整个环节,需要对业务数据的完整性和一致性进行保护,特别 是确保在用户客户端与服务、业务系统接口之间的数据传输的一致性,通常在订购类交易 流程中,容易出现服务器端未对用户提交的业务数据进行强制校验,过度信赖客户端提交 的业务数据而导致的商品金额篡改漏洞。商品金额篡改测试,通过抓包修改业务流程中的 交易金额等字段,例如在支付页面抓取请求中商品的金额字段...
验证码重复使用测试
酷狗直播-锦凡歆的博客
05-23 1653
验证码重复使用测试 在网站的登录或评论等页面,如果验证码认证成功后没有将session及时清空,将会导 致验证码首次认证成功之后可重复使用。测试时可以抓取携带验证码的数据包重复提交, 查看是否提交成功。 作者: 锦凡歆在‘来疯’直播唱歌最好听 修复建议 针对验证认证次数问题,建议验证码在一次认证成功后,服务端清空认证成功的 session,这样就可以有效防止验证码...
fiddler拦截篡改接口测试
最新发布
02-23
Fiddler是一款常用的网络调试工具,它可以拦截...总结一下,使用Fiddler进行拦截篡改接口测试的步骤包括:下载安装Fiddler、配置代理和HTTPS拦截、开始拦截、配置浏览器代理、进行接口测试、修改请求和响应、查看结果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值