本文作者:Angus(Ms08067实验室 SRSP TEAM小组成员)
0x00:前言
本次总结是借鉴了月神大大之前的部分专项业务逻辑测试点,结合自己的测试经验进行补充说明,分享细化并延伸开,考虑到每个人的挖掘漏洞的领域不同,所以可能会有所遗漏,只能尽可能全面,方便于大家在测试对应类型站点的时候,能够快速的定位到可能存在问题的功能点,测试点。若有欠缺,还请各位大大不吝赐教,多来聊骚。
0x02:专项测试点
金融类
主要面向各类地方银行、国有银行等
020商城
详情见“电商类”
业务办理预约
开户、贷款、取款预约等业务预约流程进行身份证、手机号校验,可跳过身份校验
时间绕过、无会话 token、上下流程无关联,导致可批量预约申请、贷款申请、开户申请
JS 文件存在隐藏接口服务、参数
XSS 攻击
站点门户
资源请求功能处可 SSRF
投诉、建议、咨询、留言等可进行重放攻击
在线客服、投诉、建议、咨询、留言等可进行 XSS 钓鱼
项目文档、公告文件遍历,可遍历出开发测试或未对外开放的敏感文件
SQL 注入攻击
JS 文件存在隐藏接口服务、参数
业务查询
未授权、越权查询、篡改、取消业务
部署第三方接口未做好处理,导致敏感信息回显 //部分调用银联接口,未做好回显处理,导致可通过手机号或身份证号查阅到用户绑定的其他信息。
SQL 注入
业务单号可枚举遍历
网银
包含个人网银、企业网银
SQL 注入
各个业务服务功能越权
登录后的图案屏保、密码屏保绕过
功能接口敏感信息泄露
节日活动
游戏活动积分刷取 //主要利用重放、和参数篡改的方式
抽奖、领券并发
基于时间判断的活动抽奖次数限制绕过
兑奖并发
领奖条件限制绕过
互动板块
员工活动园区、用户活动社区,详情参考“社交类”
政府、教育机构类
主要面向政府机关单位、高等院校
业务办理预约