商品支付金额篡改测试

最新推荐文章于 2024-04-28 15:57:16 发布
最新推荐文章于 2024-04-28 15:57:16 发布
阅读量1.7k 收藏 1
点赞数 2
分类专栏: web 漏洞 及 修复 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hyg1165269653/article/details/90601216
版权

商品支付金额篡改测试

电商类网站在业务流程整个环节,需要对业务数据的完整性和一致性进行保护,特别 是确保在用户客户端与服务、业务系统接口之间的数据传输的一致性,通常在订购类交易 流程中,容易出现服务器端未对用户提交的业务数据进行强制校验,过度信赖客户端提交 的业务数据而导致的商品金额篡改漏洞。商品金额篡改测试,通过抓包修改业务流程中的 交易金额等字段,例如在支付页面抓取请求中商品的金额字段,修改成任意数额的金额并 提交,查看能否以修改后的金额数据完成业务流程

修复建议

商品信息,如金额、折扣等原始数据的校验应来自于服务器端,不应接受客户端传递 过来的值。

墨玉呀
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
在线支付安全-业务安全测试实操(35)
AI
07-07 674
步骤一:登录某快餐连锁官网,选择快餐后,显示要支付金额46元,在Chrome浏览器中,按 F12 快捷键,在浏览器下方弹出开发者工具,选择最左侧的箭头,如图 所示。·通过数据类型判断正确后,同时判断商城库存对应商品的剩余量,如果剩余量低于商品的购买数量,则直接提示错误信息,让客户修正。在服务器端判断提交商品ID中数量参数值不低于0,如果数量参数值低于0,则直接提示错误信息,让客户修正。在服务器端判断订单中运费参数值不低于0,如运费参数值低于0,则直接提示错误信息,让客户修正。将订单中的商品价格封装为。
必测的支付漏洞(一)使用fiddler篡改支付金额
热门推荐
Lambda_Y的博客
04-19 7万+
互联网产品中常会遇到支付功能,测试人员测试这部分功能时一定要重视,因为如果这部分出现了较严重的bug,将会给公司带来不小的经济损失!如果你测出了问题领导也一定会高兴的!因此测试优先级很高,但具有一定难度,刚接触测试的小白们可能不知道支付功能有哪些测试点,作为同为小白的我,就与大家分享一下我学习并致用于工作中的成果吧!         今天这篇介绍一下支付功能的测试点之一——篡改支付金额。设想
电商系统哪部分会用到接口测试_电商网站测试点 还需要整理
weixin_39986169的博客
12-20 2520
按照两种模式进行划分总结:1.按照测试类型 2.按照电子商务网站的系统架构1.按照测试类型来划分1.兼容性1.1主要是在浏览器兼容(360浏览器IE6 IE8浏览器)12.操作系统,主要体现在操作系统兼容(xp win2003 win2007)2.UI测试2.1检查连接是否正确2.2是否有文字错误信息2.2产品价格是否有显示错误。3.用户体验测试UE3.1首页产品的展示与分类3.2搜索结果页,搜索...
Fiddler抓包工具保姆级使用教程(超详细)
最新发布
2301_79962153的博客
04-28 1616
面试题文档来啦,内容很多,485页!由于笔记的内容太多,没办法全部展示出来,下面只截取部分内容展示。
支付漏洞渗透测试思路
剁椒鱼头没剁椒的博客
10-09 855
涉及一个网站中所有的购买、支付等方面的功能处,都可能存在支付漏洞。
不了解前后端交互还想要熟练定位Bug,别闹了!
别人的故事,是参考答案,而不是标准答案
01-22 374
作为一个合格的软件测试人员, 能够熟练定位bug的位置是属于前端还是后端,是必备技能之一。所以就需要明白前后端数据是怎么进行交互的。 一、网站数据处理主要分为三层     第一层,表示层,这部分可以用HTML代码,CSS/Javascript代码来实现等。通过前端代码可以实现网页的布局和设计。这层又可以称为显示层。也就是你用浏览器打开能看到的网页。   第二层,是业务层,这层是负责处理数据的。常用的代码语言有PHP,JSP,Java等。通过这些后台处理语言的算法来处理前台传回的数据。必要的时候进行操作数据库
支付功能测试用例,传统的支付功能模块中的测试设计点
05-06
在商户系统与第三方之间,测试点包括密钥错误、提交商户系统不存在的订单、篡改用户支付金额等。第三方与用户之间的测试点则包括支付密码错误、余额不足、取消支付、重复支付等。 退款流程的测试点包括用户发起退款...
测试面试题-测试场景设计
03-12
 支付金额不能为空、0、负数  单日成交最大限额  如果是固定金额支付,验证篡改金额是否能成功支付(一般支付接口有签名验证,防止篡改)  支付后验证付款方金额是否扣减  支付成功金额是否立即到账/按约定延时...
Android集成支付支付功能示例
08-30
这个方法需要传入一个包含完整订单信息的字符串,其中包括合作伙伴ID、卖家ID、交易号、商品名称、商品描述、金额、回调URL等。这些信息需要按照支付宝的参数规范格式化,并且需要一个签名(sign),以确保数据的...
解析PayPal支付接口的PHP开发方式
10-28
每个IPN通知都包含一系列的变量,如`payer_email`(买家邮箱)、`payment_status`(支付状态)、`mc_gross`(总交易金额)等。开发者需要根据这些变量来判断交易的状态和执行相应的业务逻辑。 **6. 安全性考虑** ...
支付宝包装H5接口文档1
08-08
通知参数包括`trade_status`(支付状态,如`TRADE_SUCCESS`)、`total_amount`(支付金额)、`out_trade_no`(商户订单号)、`trade_no`(支付系统订单号)和`notify_id`(支付宝通知ID)。商户需要对这些参数进行...
fiddler抓包修改金额教程+工具
02-23
资料包含视频+文档+工具,主要目的使用fiddler抓包工具实现购物商品的价格进行幕改来进行支付
软件测试:购买商品测试不可忽略的问题
小太阳~
01-25 3011
1. 若同一个账号在不同设备上同时下单   1.1 使用同一个地址、不同地址   1.2 使用同一种支付方式、不同种支付方式   1.3 一个设备上定位到购买页面准备付款,另一个设备把购物车清空,此时应该有类似“该页面已经过期了,请返回购物车查看”之类的友好提示。   (若没有message提示之类的,优先级是稍微低一些的,但是如果同时下两单,并且全部下成功了,这就是一个优先级比价高的bu
【JavaP6大纲】功能设计篇:金额篡改问题
Java程序员廖志伟
04-07 511
金额篡改问题 案例:下订单时,拿到别人的URL,篡改数据(金额)发送给系统 方法一:对插入的操作进行校验:一个请求的URL传入进来,根据参数找到对应的用户关联表,查询到用户的userid和用户登录后保存到redis中的userid进行对比。例如:传入参数为(订单id)和(优惠券id),拿(订单id)查询该订单的用户id,拿来和登录的用户id进行对比,判断是否为本人操作。拿(优惠券id)查询用户表是否领取了该优惠券,该优惠券是否可用。 方法二:前端传入一个加密的信息数据,后端给这个给这个数据解密,判断是否为同
业务安全 –业务逻辑漏洞
Chenamao的博客
08-06 2085
目录 业务安全 –业务逻辑漏洞 业务安全概述; 业务安全测试流程: 业务数据安全 商品支付金额篡改 前端JS限制绕过验证 请求重放测试 业务上线测试 *商品订购数量篡改 密码找回安全 注入 业务逻辑 信息泄露 业务安全概述; 简单讲,随着社会发展,越来越多的行业都开始发展互联网业务,利用信息通信性技术以及互联网平台进行商务互动(金钱交易)。如:银行、保险、证券电商、P2P、O2O、游戏、社交、招聘、航空等。涉及金钱、个人信息、交易、等重要隐私数据,成为黑客攻击的目标。 (业务
游戏充值订单金额修改思路与实践
kfyzjd2008的博客
09-15 9089
观察代码,price变量在其他位置的代码注释中标注为付款金额(元),我们猜测这里有可能是商户server返回的订单信息,并且方法结尾有一个Native层的方法调用。商户server可以拿到充值后的订单详情,如果校验真实充值金额,那么可能会收不到充值的游戏道具。这里我们重新加密.lua文件后不能按前一篇的方法,MT管理器直接覆盖掉apk目录下的同名文件。那么我们是否可以在app调起第三方支付时将商户Server返回的参数中的订单金额修改掉。第一次尝试时,找错了代码,所以没有成功,这个文章后面我会讲。
src漏洞类型总结
goddemon
01-20 3580
一,易出现处 ①照片访问类代目录类处 如乌云实例 在http://learn.open.com.cn/登入 首页-详细信息-查看 查看照片地址 发现目录泄露了 http://oemsresource.open.com.cn/Attachment/ExportTemp/OEMS/PictureTemp/20160711/ 逻辑漏洞 ①cookie混淆–>两个同时进行找回密码 (利用原理–>同一个浏览器中同时找回两个账户的密码,即一个浏览器找回不同密码时,两个账号的cookie相同导致的) (验
SRC众测挖洞之支付逻辑漏洞的奇淫技巧
道阻且长,行则将至。
05-29 6336
文章目录前言巧用支付页面低价签约漏洞低价会员升级循环利用优惠券并发请求测试并发领取奖品并发多次签到并发转账提现其他支付漏洞异常支付金额金额数量溢出更多逻辑漏洞总结 前言 最近闲余时间开始在 SRC 应急响应平台和 补天、火线、漏洞盒子 等第三方漏洞平台挖掘漏洞赚点外快,一开始还算运气好尝到了一点小甜头: 但是面对 SRC 这类可能被几百名白帽子同时挖掘过的系统,想要持续挖掘到遗漏的漏洞难面显得十分吃力、甚至说黔驴技穷了…… 但是发现正是这种“手足无措”的处境,才会让自己去加深一些曾经自认为“熟悉”的漏洞的
fiddler篡改支付金额
08-11
测试人员应该对支付功能进行全面的测试,以确保支付金额和其他相关数据的安全性和准确性。123 #### 引用[.reference_title] - *1* *3* [必测的<em>支付漏洞(一)——使用fiddler篡改支付金额]...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值