- 博客(1)
- 收藏
- 关注
RSS订阅原创 商城网站的测试思路
弱口令、爆破、js接口文件泄露未授权、sql注入、验证码绕过、抓包修改状态信息绕过、判断是否为shiro框架且尝试未授权访问、session劫持、cookie的脆弱性。测垂直越权,高权限账号有更多的接口,我们用低权限账号访问对应的高权限账号的接口,如果能成功访问,说明纯在垂直越权。可以测试是否存在水平越权漏洞,通过修改url中的id之类的参数,看是否能看到其他用户的信息。逻辑支付漏洞:抓包修改金额、更改支付状态、更改支付类型、抓包修改订单信息等。如果给你两个不同权限的账号,你有什么思路。
2024-04-28 14:52:46
146
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人