50、WEB攻防——通用漏洞&购买支付逻辑&数据篡改&请求重放&接口替换

最新推荐文章于 2024-05-01 15:07:54 发布
最新推荐文章于 2024-05-01 15:07:54 发布
阅读量431 收藏 7
点赞数 9
分类专栏: 小迪安全 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55202378/article/details/136500953
版权

文章目录


在这里插入图片描述

知识点

  1. 商品购买——数量&价格&编号(更改商品编号,会不会更改商品价格)等;
  2. 支付模式——状态(判定支付状态,是否存在攻击的可能)&接口(接入第三方支付)&负数(例如,-1件商品)等;
  3. 折扣处理——优惠卷(重复使用重放数据包,重新获取摸清优惠券的规律 )&积分&重放等。

详细点

熟悉常见支付流程:选择商品和数量——选择支付方式及配送模式——生成订单编号——订单支付选择——完成支付。
熟悉哪些数据可以篡改:商品编号ID、购买价格、购买数量、支付方式、订单号、支付状态等。
熟悉哪些改动方式:替换支付、重复支付、最小额支付(更改价格或数量)、负数支付、溢出支付(数值巨大)、优惠券支付等。

PT_silver
关注
专栏目录
web安全攻防渗透测试实战指南
jhf223344的博客
04-05 9055
1. Nmap的基本 Nmap + ip 6+ ip Nmap -A 开启操作系统识别和版本识别功能 – T(0-6档) 设置扫描的速度 一般设置T4 过快容易被发现 -v 显示信息的级别,-vv显示更详细的信息 192.168.1.1/24 扫描C段 192.168.11 -254 =上 nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) --------------- 192.168.1.1/24 --exclude 19...
Web安全攻防渗透测试实战指南笔记 三
Ren59421的博客
04-05 8054
第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache、Nginx、MySQL和PHP的应用环境,本节演示的是WDLinux的一款集成的安装包。 首先,下载需要的安装包,命令如下所示。 wegt http://dl.wdlinux.cn/files/lanmp_v3.tar.gz 下载完成后进行解压,解压文件的命令为tar zxvf lanmp_v3.tar.gz,运行环境如下图所示。 输入sh lanmp.sh命令运行LANMP,这时程...
WEB攻防-购买支付逻辑漏洞&数据篡改&请求重放&接口替换
ran的博客
04-20 2821
75.解决这种安全问题的方法其实也很简单,我们可以在数据包内看到数据包内是存在id值的,通过这个值就可以对订单商品以及订单金额进行控制,我们后面更改订单编号就是没有用的,需要同时对二者进行更改才可行,如果二者不对应就会出现逻辑错误,弹出错误页面。23.其实也并不是这样,一方面网站可能不会认可你自己的支付接口,另一方面,如果你将接口修改了,那么网站会不会接收你的回调信息呢。21.如果将支付接口信息进行更改,改到你自己的名下,那么在付款的时候就会将资金付到你自己的名下,并且网站也会认定你是付款成功。
WEB攻防-通用漏洞&水平垂直越权&购买逻辑漏洞
m0_65336233的博客
10-19 1325
WEB攻防-通用漏洞&水平垂直越权&购买逻辑漏洞
Web 攻防之业务安全:支付商品数量篡改 测试.
网络安全领域___专研者.
04-03 6281
我们购买东西正常情况下都是要钱的,如果说平台出现了(支付逻辑漏洞.) 那么我们就可以,利用这个漏洞实现 不用钱买任何东西,或者是商家倒贴钱给我们来 购买他的东西.(这不学起来吗?)
【小迪安全2023】第50天:WEB攻防-通用漏洞&购买支付逻辑&数据篡改&请求重放&接口替换
人若无名,便可专心练剑
04-21 1249
但是这个支付接口是比较难申请的,因为关联一些洗钱相关的黑色产业,所以抓的比较紧,并且也是违法行为。商品编号ID,购买价格,购买数量,支付方式,订单号,支付状态等 数量能不能修改,价格能不能修改,编号能不能修改。通过修改,可以发现,假如我们就算没有优惠卷了,只要知道这个数据包的规则,那么我们也可以进行修改use_coupon的值,来达到有优惠卷的效果。替换支付(用3000支付6000的东西),重复支付支付完成,把支付流程数据包重新走一遍),最小额支付,负数支付,溢出支付,优惠券支付等。
2024年网安最全逻辑漏洞小总结(1)
2401_84297035的博客
05-01 1430
1、找到关键的数据包可能一个支付操作有三四个数据包,我们要对数据包进行挑选。2、分析数据支付数据包中会包含很多的敏感信息(账号,金额,余额,优惠),要尝试对数据包中的各个参数进行分析。3、不按套路出牌多去想想开发者没有想到的地方。4、pc端尝试过,手机端wap也看看,app也试试防御方法1、在后端检查订单的每一个值,包括支付状态;2、校验价格、数量参数,比如产品数量只能为整数,并限制最大购买数量;
web安全攻防
m0_67831325的博客
04-07 182
1.Nmap的基本 Nmap + ip 6+ ip Nmap -A 开启操作系统识别和版本识别功能 – T(0-6档) 设置扫描的速度 一般设置T4 过快容易被发现 -v 显示信息的级别,-vv显示更详细的信息 192.168.1.1/24 扫描C段 192.168.11 -254 =上 nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) --------------- 192.168.1.1/24 --exclude 19...
web安全攻防渗透测试实训笔记
m0_65385236的博客
04-07 1394
1. Nmap的基本 Nmap + ip 6+ ip Nmap -A 开启操作系统识别和版本识别功能 – T(0-6档) 设置扫描的速度 一般设置T4 过快容易被发现 -v 显示信息的级别,-vv显示更详细的信息 192.168.1.1/24 扫描C段 192.168.11 -254 =上 nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) --------------- 192.168.1.1/24 ...
web安全攻防笔记
m0_65369792的博客
04-07 504
1.SQLmap 是一种开源的渗透测试工具,可以自动检测和利用SQL注入漏洞以及接入该数据库的服务器。 支持的数据库:MySQL,Oracle, PostgreSQL, SQL Server, Microsoft Microsoft Access, IBM DB2, SQLite, Firebird, Sybase and SAP MAXDB。 (1) 安装sqlmap前,需要先安装Python3.X Python Releases for Windows | Python.org ...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8482
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
中国矿业大学(北京)在江西2020-2024各专业最低录取分数及位次表.pdf
10-02
那些年,与你同分同位次的同学都去了哪里?全国各大学在江西2020-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
SOC与MCU启动区别的详细解析
10-02
本文深入剖析了SOC和MCU启动过程中显著的区别,包括硬件架构、启动速度、启动模式、电源管理和应用场景等方面的不同之处。文章指出了两种架构分别适用于复杂的系统集成以及简单的实时控制系统场合,为从事相关行业的工程人员提供了理论依据和技术指引。 适用人群:面向有初步认识嵌入式开发领域的学生和从业人员、尤其是致力于理解和区分SOC和MCU的技术特性与区别的人士。 使用场景及目标:针对不同应用场景——例如需要快速响应的智能家居设备和运行复杂操作系统的智能手机设备,选择最适合的芯片以优化产品性能。 其他说明:为了更好地掌握SOC和MCU之间的差异,建议读者们可以通过对比具体实例并结合实际工程项目进行综合评估学习。
校车调度管理系统 源码+数据库+论文(JAVA+SpringBoot+Vue.JS+MySQL).zip
10-02
校车调度管理系统 源码+数据库+论文(JAVA+SpringBoot+Vue.JS+MySQL) 启动教程:https://www.bilibili.com/video/BV11ktveuE2d
管理层权力、私有收益与薪酬操纵-权小锋.pdf
最新发布
10-02
管理层权力、私有收益与薪酬操纵-权小锋
全国大学生智能汽车竞赛介绍《word文档》
10-02
全国大学生智能汽车竞赛介绍《word文档》 全国大学生智能汽车竞赛是由中国教育部主办的一项面向大学生的比赛,旨在推动智能汽车技术的发展,培养汽车智能化领域的人才。比赛内容涵盖智能汽车的设计、制造、控制和测试等方面,参赛队伍需要设计并制造一辆能够自主行驶、避障、停车等功能的智能汽车,并在赛场上进行比赛。 参赛队伍需要具备团队合作能力、创新意识和技术实力,同时需要具备对汽车工程、电子工程、计算机科学等领域的基础知识。比赛设立了多个赛道和项目,包括智能汽车设计、智能汽车控制、智能汽车测试等,参赛队伍需要在各个项目中展示他们的技术实力和创新能力。 通过参加全国大学生智能汽车竞赛,学生们可以提升自己的技术能力和团队合作能力,同时也可以与其他高校的优秀学生进行交流和比拼,获得更多的学习和成长机会。这项比赛也为学生提供了一个展示自己才华的舞台,有助于他们在未来的职业发展中脱颖而出。
基于Java语言的Spring Cloud一站式微服务框架设计源码
10-02
该项目为基于Java语言的Spring Cloud一站式微服务框架设计源码,共计65个文件,涵盖37个Java源文件、13个XML配置文件、10个属性文件以及其他辅助文件,旨在构建一个功能全面且易于维护的微服务架构。
c#代码介绍23种设计模式-15命令模式(附代码)
10-02
1. 命令模式的定义 命令模式属于对象的行为型模式。命令模式是把一个操作或者行为抽象为一个对象中,通过对命令的抽象化来使得发出命令的责任和执行命令的责任分隔开。 命令模式的实现可以提供命令的撤销和恢复功能。 2. 命令模式的结构 既然,命令模式是实现把发出命令的责任和执行命令的责任分割开,然而中间必须有某个对象来帮助发出命令者来传达命令,使得执行命令的接收者可以收到命令并执行命令。 例如,开学了,院领导说计算机学院要进行军训,计算机学院的学生要跑1000米,院领导的话也就相当于一个命令,他不可能直接传达给到学生,他必须让教官来发出命令,并监督学生执行该命令。 在这个场景中,发出命令的责任是属于学院领导,院领导充当与命令发出者的角色,执行命令的责任是属于学生,学生充当于命令接收者的角色,而教官就充当于命令的发出者或命令请求者的角色,然而命令模式的精髓就在于把每个命令抽象为对象 3. 涉及到五个角色,它们分别是: 客户角色:发出一个具体的命令并确定其接受者。 命令角色:声明了一个给所有具体命令类实现的抽象接口 具体命令角色:定义了一个接受者和行为的弱耦合,负责调用接受者的相应方法。
攻防策略:ATT&CK与SHIELD技术解析
"攻防映射图:ATT&CK攻击技术与SHIELD防御技术" 这篇文档探讨了如何针对MITRE ATT&CK框架中的攻击技术实施有效的防御策略。ATT&CK框架是一个广泛接受的知识库,它详细列出了黑客可能使用的各种攻击技术和战术。同时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值