登录页面
弱口令、爆破、js接口文件泄露未授权、sql注入、验证码绕过、抓包修改状态信息绕过、判断是否为shiro框架且尝试未授权访问、session劫持、cookie的脆弱性
商品查询页面
sql注入、xss
购物车支付页面
逻辑支付漏洞:抓包修改金额、更改支付状态、更改支付类型、抓包修改订单信息等
前台个人中心
可以测试是否存在水平越权漏洞,通过修改url中的id之类的参数,看是否能看到其他用户的信息
如果给你两个不同权限的账号,你有什么思路
测垂直越权,高权限账号有更多的接口,我们用低权限账号访问对应的高权限账号的接口,如果能成功访问,说明纯在垂直越权
扫一扫
3977
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
