本文探讨了在Web框架下忽视安全测试可能导致的问题,通过实例揭示了如越权操作、数据篡改等安全漏洞。作者指出,测试人员应更加注重安全测试,了解Web层次结构,并建议对敏感接口进行身份验证以防止安全风险。同时,强调了开发设计逻辑的缺陷是安全漏洞的根源,呼吁在功能测试中融入更多安全场景。
此文已由作者王婷英授权网易云社区发布。
欢迎访问网易云社区,了解更多网易技术产品运营经验。
在平时的测试中,一般情况下,我们都是比较关注功能业务测试,以及对应的接口测试,很少去关注对应的业务设计上存在的安全漏洞测试分析。随着行业对安全的要求越来越高,同时我们电商是经常在网络上发生交易操作的网站,更是要关注安全测试相关的测试场景的考虑。
之所以来编写这篇web的里的安全测试的文章,主要是在平时的测试过程中,发现了我们的考拉网站上存在一些安全性的漏洞。一部分的安全漏洞不会公司带来资损,但是还有一部分的安全性漏洞会对公司造成一定的资损,这样子的安全性的漏洞更应该被重视,那么安全性的测试也更应该被重视起来。
简单罗列目前发现的安全性问题:
用户购买会员的金额可以通过修改请求里的金额,进行购买--------根本原因:后端的代码没有将拿到的用户的金额和实际的金额进行对比,再去发出下一步的支付流程。
对订单进行评论的获取考拉豆的时候,可以通过变更URL上的orderID来进行变更,从而将别人的订单进行评价,而获取别人的考拉豆---根本原因:后端没有对订单的所属进行判断,只是核对该订单是否存在
下面详细的说明几种常见的漏洞:
1、通过修改请求里的Response参数
最低0.47元/天 解锁文章
1009
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
