业务流程绕过测试

最新推荐文章于 2023-09-27 21:46:01 发布
最新推荐文章于 2023-09-27 21:46:01 发布
阅读量595 收藏
点赞数
分类专栏: web 漏洞 及 修复 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hyg1165269653/article/details/90601264
版权

业务流程绕过测试

该项测试主要针对业务流程的处理流程是否正常,确保攻击者无法通过技术手段绕过 某些重要流程步骤,检验办理业务过程中是否有控制机制来保证其遵循正常流程。例如业 务流程分为三步:第一步,注册并发送验证码;第二步,输入验证码;第三步,注册成 功。在第三步进行抓包分析,将邮箱或手机号替换为其他人的,如果成功注册,就跳过了 第一步和第二步,绕过了正常的业务流程。

修复建议

针对此类漏洞,建议对敏感信息如身份 ID、账号密码、订单号、金额等进行加密处 理,并在服务端对其进行二次比对。

墨玉呀
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
业务流程绕过测试-业务安全测试实操(18)
AI
06-21 395
业务流程绕过测试,业务上限测试
渗透测试业务逻辑之流程乱序测试
发哥微课堂
08-08 1079
0x00:前言 上周做渗透,有一个 sql 注入,负责安全审核的人给开发说你们的程序既然还有 sql 注入,我一年也看不见几个。这句话让我又再次深刻的认识到,渗透测试常规的一些注入跨站漏洞不如以前那么盛了,有点经验的开发写东西都会去考虑到了,再加上修复方法也在逐渐的完善,逻辑类的东西也应该并重的去测。 0x01:分类 我把逻辑类的问题大概总结了一下,大概可以分为十个模块,分别是登录认证模块测...
业务逻辑漏洞探索之绕过验证
xiaoi123的博客
11-30 774
业务逻辑漏洞探索之绕过验证 本文中提供的例子均来自网络已公开测试的例子,仅供参考。 本期带来绕过验证漏洞。为了保障业务系统的安全,几乎每个系统都会存在各种各样的验证功能。常见的几种验证功能就包括账号密码验证、验证码验证、JavaScript数据验证及服务端数据验证等等,但程序员在涉及验证方法时可能存在缺陷导致被绕过,于是斗哥总结了以下几种绕过验证的姿势和大家一起讨论讨论~   客户端校验绕...
基于Burpsuite的安全测试十四:业务流程乱序测试
chang_jinling的专栏
06-21 456
基于Burpsuite的安全测试十三:业务流程乱序测试 情景1:业务流程绕过测试业务流程为,第一步输入手机号并发送验证码,第二步为输入验证码,第三步为注册成功。在第三步抓包,将手机号替换为其他人的,如果注册成功则跳过了第一步和第二步,绕过了正常的业务流程。 还有如某订单生成后流程走到的链接中,只需要提供对应的充值订单号就可以绕过支付环节,未经支付直接充值成功。 系统修复方案: 对敏感信...
业务逻辑漏洞
weixin_30693183的博客
08-09 290
转载:https://github.com/PyxYuYu/MyBlog/issues/102 业务逻辑漏洞 由于程序逻辑不严谨或逻辑太过复杂,导致一些逻辑分支不能正常处理或处理错误,统称为业务逻辑漏洞 关注重点 业务流程 HTTP/HTTPS请求分析 漏洞分类 身份认证 暴力破解 在没有验证码限制或者一次验证码可以使用多次使用...
WSTG(Web 应用程序安全测试)OWASP - 思维导图.pdf
10-06
11. 输入验证和过滤绕过测试应用程序对用户输入的处理,寻找可以绕过验证的漏洞,如使用特殊字符或编码技术。 12. 跨站请求伪造(CSRF)和点击劫持:评估防止非预期操作的防护措施,如CSRF令牌和页面框架防御。 ...
安全软件开发生命周期(S-SDLC)_与业务安全.pdf
09-11
威胁库是收集和管理威胁信息的资源,对于仿冒威胁,可能的消减措施包括采用多种身份验证机制,如用户名/密码、Cookie、数字签名和挑战-应答机制,防止客户端和服务器端的身份验证被绕过。 总的来说,S-SDLC是一种...
Web安全测试技术概述.pptx
10-12
改变模拟对象意味着测试人员不仅应模拟正常用户的行为,还要模拟可能的攻击行为,例如尝试绕过支付流程或未经授权的数据访问。此外,使用专用的测试工具,如Burp Suite和OWASP ZAP,可以有效地模拟黑客可能使用的...
接口自动化测试:pytest基础讲解
05-13
前、后端系统分离,从安全层面来说,只依赖前端进行不能满足安全要求,绕过前端相对容易,所以需要后端同样进行输入校验,可以依赖接口测试去验证了。 以下是接口测试流程: 1. 怎么测试接口?根据什么来测接口呢...
接口测试方案(1).docx
12-07
5. 现在很多系统前后端架构是分离的,从安全层面来说:只依赖前端进行限制已经完全不能满足系统的安全要求(绕过前端实在太容易),需要后端同样进行控制,在这种情况下就需要从接口层面进行验证。 接口测试流程: ...
验证码绕过测试
酷狗直播-锦凡歆的博客
05-23 705
验证码绕过测试 作者: 锦凡歆在酷狗直播唱歌最好听 修复建议 针对此漏洞,建议在服务端增加验证码的认证机制,对客户端提交的验证码进行二次 校验。 ...
安全测试之验证码绕过
hello3041的博客
10-29 1759
安全测试入门 #验证码绕过: 1、无限次使用 2、删除图片验证码 3、注意验证码是否相应在返回包里 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 验证码绕过: 1、无限次使用 2、删除图片验证码 3、注意验证码是否相应在返回包里 我们对Markdown编辑器进行了一些功...
(二)安全测试实施:安全测试基础业务用例整理
gzytester的博客
03-12 568
安全测试基础业务用例整理 通用业务 描述 验证方法 安全等级 用户名SQL注入 输入框输入’or ‘a’='a,输入密码点击登录 S0 密码SQL注入 密码输入框输入’or ‘a’='a,点击登录 S0 用户名大小写不区分 使用大小写的用户登录 S3 密码大小写不区分 使用大小写的密码登录 S3 设置基本的复杂度规则,如密码最短长度(建议8位及以上),大小写字母+数字+符号的组合等 使用弱密码页面校验不通过 S2 对默认密码要求强制改密 对第一次登录的用户提示修改密码 S
如何快速做跨业务测试
09-27 103
首先是原来这种模式下的需求文档,包括该需求的历史性的一些梳理文档,以及该需求的迭代性需求文档,还可以参考UI图。
干货|安全测试 如何封堵绕过客户端控件的攻击
chongdudu5779的博客
01-03 459
互联网在深度改造我们生活方式的同时,也不断给各行业的服务交付模式带来巨大变化,过去需要到专门机构或营业场所办理的业务,如今只要通过电脑浏览器或手机APP就能完成了,我们称之为用户体验前置。随之客户端的能力越来越强,客户端安全漏洞的威胁自然越来越大,在软件测试过程中对客户端安全的检测也更加重要,...
WAF绕过的一些总结和思考,WAF怎么防绕过
07-09 631
WAF分类:1.网络层类2.最常见且容易部署的应用层类 (部署在APAC++HE之前,APAC++HE之后)应用层WAF – 利用WAF自身缺陷和MYSQL语法特性并结合实际绕过:WAF最常见检测方式:关键词检测 例如 如果出现 [空格]union[空格] 这样的SQL语句则视为恶意请求,丢弃这个数据包,XSS代码同理。常见的绕过类型:类型1:数据包 -> WAF(利用...
【逻辑漏洞】业务中常见的漏洞
scarlett0523的博客
10-10 2584
全文内容来自陈晓光、胡兵、张作峰《web攻防之业务安全实战指南》,为本人阅读时摘取的学习笔记,特此说明。 【逻辑漏洞】业务中常见的漏洞 0x00(理论部分 业务风险点识别 一、业务环节存在的安全风险 业务使用者可见的业务 身份认证环节是否存在完整的验证机制、数据一致性校验机制、session和cookie校验机制;验证码是否可绕过、暴破和SQL注入等。 二、支持系统存在的安全风险 1.用户访问控制...
WEB安全新玩法 [9] 重置密码之验证流程防绕过
天存信息
10-23 739
一般来说,业务流程中出现多个操作环节时,是需要顺序完成的。程序设计者往往按照正常用户的操作顺序实现功能,而忽略了攻击者能够绕过中途环节,直接在后续环节上进行非法操作。iFlow 业务安全加固平台能够在不修改网站程序的情况下,强制流程的顺序执行。 某网站系统在用户重置密码时,需进行算术题人机识别验证,再进入邮箱验证码验证环节,通过后才能真正地重置密码。由于程序设计不当,攻击者可以输入任意受害者账号,并正常完成算术题验证后,直接绕过邮箱验证码验证过程,进入到重置受害者密码的环节。我们接下来会看到如何利用 iF
软件测试简介、测试原则、测试过程、测试内容、测试方法
NeilNiu
11-03 1633
软件测试 是使用人工操作或者软件自动运行的方式来检验它是否满足规定的需求或弄清预期结果与实际结果之间的差别的过程。 它是帮助识别开发完成(中间或最终的版本)的计算机软件(整体或部分)的正确度(correctness) 、完全度(completeness)和质量(quality)的软件过程;是SQA(software quality assurance)的重要子域。 Glenford
mockito单元测试绕过切面
最新发布
02-28
在单元测试中,有时候我们希望绕过某些切面逻辑,以便更好地测试被切面影响的代码。Mockito是一个常用的Java单元测试框架,可以帮助我们实现这个目标。 要绕过切面逻辑,可以使用Mockito的`mock`方法来创建一个被切...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值