【业务安全-02】业务数据安全测试及商品订购数量篡改实例

最新推荐文章于 2024-03-28 11:58:54 发布
最新推荐文章于 2024-03-28 11:58:54 发布
阅读量1.1k 收藏 5
点赞数 2
分类专栏: # 入门07 Web安全之渗透测试 文章标签: 业务逻辑漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64378913/article/details/125450043
版权

目录

0 前言

业务中的数据安全不仅是存储在后台和数据库中的数据是否会被非法窃取或修改,还包括传输过程中的数据是否被非法窃取或修改。

1 商品支付金额篡改测试

概述:电商类网站在业务流程整个环节,需要对业务数据的完整性(不允许篡改)和一致性(前后一致)进行保护,特别是确保在用户客户端与服务、业务系统接口之间的数据传输的一致性,通常在订购类交易数据流程中,容易出现服务端未对用户提交的业务数据进行强制检验,过度信赖客户端提交的业务数据而导致的商品金额篡改漏洞。

手段:商品金额篡改测试,是通过抓包修改业务流程中的交易金额等字段,来检测是否存在金额篡改漏洞。

目的:该项测试主要针对订单生成的过程中存在商品支付金额校验不完整而产生的业务安全风险点,通常导致攻击者用实际支付远低于订单支付的金额订购商品的业务逻辑漏洞。

例子:在支付页面抓取请求中商品的金额字段,修改成任意数据的金额并提交,查看能否以修改后的金额数据完善业务流程。比如一分钱买了一个电冰箱。

2 前端JS限制绕过测试

概述:很多商品在促销活动中是限制用户购买数量的,如果服务器仅在页面通过JS脚本限制,没有在服务端校验用户提交的数量,则存在通过抓取客户端发送的请求包修改JS端生成处理的交易数据的业务漏洞。(其他一些查询业务可能会限制时间段,也可能存在类似的漏洞)

手段:将请求中的商品数量改为大于最大数显示的值,查看能否以非正常业务交易数据完成业务流程。

目的:该项测试主要针对电商平台由于交易限制机制不严谨、不完善而导致的一些业务逻辑问题。

3 业务上限测试

概述:业务上限测试主要是针对一些电商类应用程序在进行业务办理流程中,服务端没有对用户提交的查询范围、订单数量、金额等数据进行严格校验而引发的一些业务逻辑漏洞。

手段:通常情况下,在业务流程中通过向服务端提交高于或低于预期数量的数据以校验服务器是否对所提交的数据做预期校验。存在此类脆弱性的应用程序,通常表现为查询到超出预期的信息、订购、或兑换超出预期范围的商品等。

目的:该项测试主要判断应用程序是否对业务预期范围外的业务请求做出正确回应。

4 商品订购数量篡改

概述:商品数量篡改测试是通过在业务流程中抓包修改订购商品数量等字段,以判断服务器是否存在商品订购数量篡改漏洞。

手段:将请求中的商品数量修改成任意非预期数额负数等进行提交,查看业务系统能否以修改后的数量完成业务流程。

目的:该项测试主要针对商品订购的过程中,服务器对异常交易数据处理缺乏风控机制而导致相关业务逻辑漏洞。

例子:damiCMSV5.4网上商城为例。请参考文章《电子商城业务逻辑漏洞——篡改交易数据》。

5 请求重放测试

概述:请求重放漏洞时电商平台业务逻辑漏洞中一种常见的由设计缺陷所引发的漏洞,通常情况下所引发的安全问题表现为商品首次购买成功后,参照订购商品的正常流程请求,进行完全模拟正常订购业务流程的重放操作,可以实现“一次购买多次收货”等违背正常业务逻辑的结果。

目的:该项测试主要针对电商平台订购兑换业务流程中每一笔交易请求的唯一性判断缺乏有效机制的业务逻辑问题,通过该项测试可以验证交易流程中随机数时间戳等数据的生成机制是否正常。

6 商品订购数量篡改实例

6.1 实验目的

(1)加深对业务数据安全重要性的理解;
(2)掌握测试业务数据是否存在篡改交易数据漏洞的方法。

6.2 实验环境

6.2.1 实验靶机

实验靶机——win2008虚拟机:本节实验靶场是在win2008系统上基于phpstudy搭建的一个简单网站,win2008及phpstudy的安装过程可以参考《【语言环境】WAMP环境部署及优化—以win2008R2SP1为操作系统》,网站的搭建过程可以参考《【(SQL+HTML+PHP)综合】一个简单论坛网站的综合开发案例(具有用户注册、登录、注销、修改信息、留言等功能)》。

攻击机:真实机。注意靶机与攻击机处于同一局域网。

6.2.2 搭建靶场—damiCMS-V5.4

搭建damiCMS-V5.4靶场的的步骤如下
(1)下载damiCMS-V5.4版CMS电子商城代码。

(2)解压并复制文件夹到靶机的网站根目录下。不同版本的phpstudy软件的安装时生成的目录可能存在差异,本文dami_5.4路径如下。
在这里插入图片描述
(3)真实机浏览器输入172.16.1.1/dami_5.4访问damiCMS(因为还没安装,需要先按以下步骤安装CMS),页面滑到最下方,勾选并点击继续。
在这里插入图片描述

(4)点继续。
在这里插入图片描述

(5)填写信息:

  • phpstudy中数据库的账号及密码,默认可以设置为root,数据库名填写damicmsv54。
  • 管理员用户及密码均设置为admin。
    在这里插入图片描述
    (6)安装完成,点击访问网站首页。
    在这里插入图片描述
    (7)点击右上角注册,填写用户名、密码、邮箱,并点击确定注册。

在这里插入图片描述
在这里插入图片描述
(8)点击右上角进入登录页面,试试登录刚刚的账号,登录成功
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

6.3 实验过程

(1)真实机浏览器访问172.16.1.1/dami_5.4,登录刚刚的账号,登录成功,返回如下页面。
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
(2)点击“在线充值”→“我要提现”。可以看到目前账户余额是0。
在这里插入图片描述
在这里插入图片描述
(3)进入选择产品展示→选择一款产品。
在这里插入图片描述

(4)在页面中将数量改为-1,点击立即购买。
在这里插入图片描述
(5)随便填点内容,在付款方式选择为站内扣款,点击提交订单。
在这里插入图片描述
(6)在网站右上角再次进入会员中心,再次查看到账户金额,发现多了6000。也就是刚刚输入的那个-1数量反过来给账户加了金额,这就是业务漏洞。
在这里插入图片描述
在这里插入图片描述

7 总结

(1)了解哪些位置或过程存在业务数据安全风险;
(2)掌握不同风险点的测试方法。
(3)加深对业务逻辑漏洞的理解。
(4)掌握篡改交易数据这个业务逻辑漏洞的测试方法。

像风一样9
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
业务安全测试实践模版理论指导
AI
06-08 507
系统的介绍业务安全测试理论方法案例
信息安全_『次时代』业务安全.pptx
08-14
随着全球互联化趋势,越来越多的用户把资源从线下转移到线上,黑色产业链也变得越发的猖獗,队伍不断壮大,而由于传统黑名单以及规则等解决方案的局限性,已无法完全保障业务安全,黑产通过篡改IP,修改UA,绕过规则等可以轻而易举薅取企业线上资源,那么下一代的业务安全应该是怎样的呢?极验交互安全实验室利用生物行为特征构建多尺度的复合神经网络安全模型来保障业务安全
数据安全篡改解决方案研究.pdf
10-29
数据安全篡改解决方案研究.数据安全篡改解决方案研究.
WEB漏洞挖掘(SRC)详细教程--业务数据篡改
最新发布
qq_59468567的博客
03-28 1751
很多商品限制用户购买数量时,服务器仅在页面通过js脚本限制,未在服务器端校验用户 提交的数量,通过抓包修改商品最大数限制,将请求中的商品数量改为大于最大数限制的值, 查看能否以修改后的数量完成业务流程。抓包修改金额等字段,例如在支付页面抓取请求中商品的金额字段,修改成任意数额的金额 并提交,查看能否以修改后的金额数据完成业务流程。抓包修改商品数量等字段,将请求中的商品数量修改成任意数额,如负数并提交,查看能否 以修改后的数量完成业务流程。案例:12308订单支付时的总价未验证漏洞(支付逻辑漏洞)
Web应用安全:使用SQL注入攻击篡改数据实验.doc
06-20
实验二:使用SQL注入攻击篡改数据 一、实验目的 实践SQL注入攻击 进入网站后台 二、实验内容 首先找到注入点,判断注入类型与注入方式,然后再进行暴库、表、表字段操作,最后再获取账号与密码数据,而后返回登录页面进入后台。 实验环境 1、靶机 2、VMware虚拟机 四、实验步骤 手工注入 打开靶机,访问正常的页面 在id=35后输入单引号,结果页面报错 在id=35后输入and 1=1,页面正常 在id=35后输入and 1=2,页面报错 PS:证明这是一个存在注入漏洞的页面,且注入点为数字型注入 用order by 语句查询有多少列字段,16报错 15显示正常页面 PS:说明网页注入字段长为15 用不存在的参数显示出回显位置为3,7,8,9,11,12,14 PS:判断出网页回显信息的位置,以便获取注入语句执行后返回的信息 查询当前页面所在数据库信息 系统用户名:root@localhost 操作系统:Win32 数据库名:cms 用户名:root@localhost 数据库版本:5.5.53 //5.0及以上和5.0以下手工注入方式不一样 在这里我们选择cms这个数据库,将cms
数据安全现状及保护方法研究
05-06
数据安全研究背景和意义 在信息技术高速发展的今天,数据已经成为企业和个人生产、管理和生活的重要组成部分。然而,随着数据量的日益增加和数据处理方式的多样化,数据安全问题也成为了极为严峻的挑战。数据泄露、数据篡改数据丢失等安全问题不仅会对企业或个人造成重大损失,也会对国家的经济、安全、社会稳定等方面产生极为不利的影响。因此,对数据安全问题的研究具有重要的理论和实践意义。 研究目的和研究问题 本文旨在对数据安全问题进行研究,包括数据安全现状、数据安全技术、数据安全控制方法、商业数据安全实践案例以及数据安全管理等方面的内容,旨在为数据安全问题的解决提供一定的借鉴和参考。具体研究问题如下 (1)数据安全现状分析及其危害; (2)数据安全技术的研究和应用; (3)数据安全控制方法的分类和比较; (4)商业数据安全实践案例的研究; (5)数据安全管理的方法和流程研究。
ISC2015_数据篡改与物联网安全论坛
11-30
ISC2015_数据篡改与物联网安全论坛; ISC2015_数据篡改与物联网安全论坛
业务安全测试白皮书】收录常见的业务安全问题和其测试方式
qq_42905388的博客
01-19 891
本文介绍我们小组在业务安全性测试中的部分实践,提供参考
damiCMSv5.4漏洞复现
杨过的博客
06-12 1041
收集网站的指纹信息对于渗透测试来说是很重要的,CMS的信息漏洞,对于我们来说是很有大的发挥空间的。CMS的漏洞有很多,网上可以自己收集信息进行测试。
安全测试中常见的业务安全问题
manbskjabgkb的博客
08-11 235
当发送短信的请求接口只需要手机号码或其他可猜解的明文身份ID,则有可能被攻击者通过发包工具,大量发送给其他手机号码或用户,以达到刷短信的目的,这不仅导致资源被占用,还可能会导致被运营商拉黑,使整个网站的短信验证码瘫痪!当重置密码接口,只需要可猜解的明文身份ID或其他已暴露的信息时,有可能会被攻击者通过改包工具,更改用户身份,来达到篡改其他人的用户密码。3、如果使用加密信息校验用户身份,需要保管好加密信息,不能随意显示在外面,并且限制好加密信息有效范围,防止加密信息泄密后被攻击者利用。
非授权访问测试-业务安全测试实操(9)
AI
06-16 335
非授权访问测试, 越权测试
damiCMS含有支付逻辑漏洞版本的源码.zip
03-16
damiCMS含有支付逻辑漏洞版本的源码,亲测真实有效可用,如有侵权,请联系CSDN管理员删除即可
攻防演练靶场环境搭建
Lemlly_Cicter的博客
07-02 967
大多数公司内网环境都有这些东西,完全模拟真实的企业网络环境,当然,因为服务器配置的关系,肯定不会完全包含。
业务安全05】业务逻辑漏洞篡改交易数据——基于大米CMS-V5.4电子商城
Fighting_hawk的博客
03-17 4132
1. 加深对业务逻辑漏洞的理解。 2. 掌握篡改交易数据这个业务逻辑漏洞的测试方法。
php 大米cms,大米CMS注入后台可以getshelll
weixin_30539317的博客
03-18 1058
大米CMS注入,后台可以getshelll详细说明:一)注入1.挖洞前奏Damicms搭建在本地以后,对cms\dami\Core\Lib\Think\Db\Db.class.php进行修改,将sq语句var_dump处理。然后就进行黑盒测试。搜索点,以及admin登入点输入单引号就会给过滤了。。。看到有注册功能,发现登入点居然没有过滤单引号。。。这运气比较好了2.漏洞原理于是苦逼看代码,发现th...
前端学习(2099):购物车案例-改变购买数量
歌谣的博客
08-29 338
demo738.html <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <meta http-equiv="X-UA-Compatible" content="ie=edge">
业务安全测试】常见的安全测试工具调研信息
qq_42905388的博客
01-18 642
本人主要介绍常用的安全测试工具,偏向主观
逻辑越权总结(超详细总结涉及各类越权)
剁椒鱼头没剁椒的博客
12-16 4504
Autorize是一个帮助渗透测试人员检测授权漏洞的扩展,这是Web应用程序渗透测试中比较耗时的任务之一。只需要将低权限账户的cookie值交个插件,然后用高权限的账号登录网站即可,该插件会自动重复每一个请求与低权限用户的会话并对其进行检测。在结果中看颜色,红色代表存在越权、黄色代表不确定、绿色代表没问题。在左边一列中红色列代表存在越权的可能,右边一列中红色列代表存在未授权访问的可能。
业务安全-01】业务安全概述及测试流程
m0_64378913的博客
06-25 1048
近年来,随着信息化技术的迅速发展和全球一体化进程的不断加快,计算机和网络已经成为与所有人都息息相关的工具和媒介,个人的工作、生活、娱乐,企业的生产、管理,乃至国家的发展和改革都无处其外。 信息和互联网带来的不仅仅是便利和高效,大量隐私、敏感和高价值的信息数据资产成为恶意攻击者攻击和威胁的主要目标,从早期以极客为核心的黑客黄金时代,待现在利益链驱动的庞大黑色产业,网络安全已经成为任何个人、企业、组织和国家必须面临的重要问题。随着互联网+的发展,经济形态不断发生演变。众多传统行业逐步地融入互联网,并利用信息通信
渗透测试业务逻辑之业务数据安全
07-13
在渗透测试中,业务数据安全是非常重要的一个方面。业务数据安全指的是对企业的核心业务数据进行保护和防护,以防止其被未经授权的人员或黑客攻击者获取、篡改或删除。 对于业务数据的保护,渗透测试可以采用以下几种方法: 1. 数据加密:对于敏感数据,可以采用加密技术对其进行加密处理,从而保证数据的机密性。 2. 访问控制:通过访问控制机制来控制用户对数据的访问权限,从而保证数据的保密性和完整性。 3. 数据备份:及时备份数据,以防止数据丢失或被篡改,从而保证数据的可用性和完整性。 4. 审计跟踪:通过记录用户访问和操作数据的日志,可以追踪数据被谁访问、修改或删除,从而提高数据安全性和可追溯性。 5. 强化网络安全:加强网络安全措施,如防火墙、入侵检测系统等,防止黑客攻击和恶意软件对数据的攻击和破坏。 在进行渗透测试时,需要对企业的业务数据进行全面的评估和分析,确定其安全威胁和风险。根据评估结果,采取相应的安全措施,从而保证企业业务数据安全和可靠性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值