业务数据安全
商品⽀付⾦额篡改
电商类⽹站在业务流程整个环节,需要对业务数据的完整性和⼀致性进⾏保护,特别是确保在⽤户客户 端与服务、业务系统接⼝之间的数据传输的⼀致性,通常在订购类交易流程中,容易出现服务器端未对⽤户提交的业务数据进⾏强制校验,过度信赖客户端提交的业务数据⽽导致的商品⾦额篡改漏洞。商品
⾦额篡改测试,通过抓包修改业务流程中的交易⾦额等字段,例如在⽀付⻚⾯抓取请求中商品的⾦额字 段,修改成任意数额的⾦额并提交,查看能否以修改后的⾦额数据完成业务流程。
该项测试主要针对订单⽣成的过程中存在商品⽀付⾦额校验不完整⽽产⽣业务安全⻛险点,通常导致攻 击者⽤实际⽀付远低于 订单⽀付的⾦额订购商品的业务逻辑漏洞。