必测的支付漏洞(一)——使用fiddler篡改支付金额

最新推荐文章于 2024-05-13 10:49:50 发布
最新推荐文章于 2024-05-13 10:49:50 发布
阅读量2.1w 收藏 40
点赞数 4
文章标签: java 测试

互联网产品中常会遇到支付功能,测试人员测试这部分功能时一定要重视,因为如果这部分出现了较严重的bug,将会给公司带来不小的经济损失!如果你测出了问题领导也一定会高兴的!因此测试优先级很高,但具有一定难度,刚接触测试的小白们可能不知道支付功能有哪些测试点,作为同为小白的我,就与大家分享一下我学习并致用于工作中的成果吧!

        今天这篇介绍一下支付功能的测试点之一——篡改支付金额。设想,购买一样商品,在提交订单后、跳转到支付界面前,篡改了支付金额或数量,如把2000元商品修改为0.1元,若是实体商品可能还有追回损失的机会,若是虚拟产品如游戏币,那可能就追不回来了!我使用的是抓包工具fiddler4修改支付金额的,fiddler能把网页拦截,修改服务器返回参数,并把修改后的数据包发送给服务器。下面我以测试web app电子书支付为例,介绍一下具体的操作流程!

一、拦截订单网页

1)在下方命令行输入命令:bpu +网址域名

2)web app端点击提交订单,出现图中红色标识,网页已拦截

二、修改订单价格

1)选中拦截的链接,右侧菜单选择Inspectors—WebForms

2)修改参数totalPrice,这里的8.8是电子书价格,此处修改为0.02

3)点击Run to Completion,发送修改后参数

三、跳转到付款页面

点击继续支付,跳转到支付宝界面,如图,已修改为0.02元,成功篡改支付金额!因此,发现了一个重大Bug,可以提交给开发了!

 

总结:

由此可见,将发送包中的金额修改,是一个十分危险的操作,从经济利益角度来讲,中间的差价会为公司带来巨大的损失!

修改方案即开发不要在数据包中假如价格和数量等敏感值。

 

weixin_33881050
关注
  • 4
    点赞
  • 40
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
支付必测--使用fiddler篡改支付金额
weixin_38170137的博客
08-09 4037
Fiddler拦截http请求修改数据 1、拦截http请求 使用Fiddler进行HTTP断点调试是fiddler一强大和实用的工具之一。通过设置断点,Fiddler可以做到: ①修改HTTP请求头信息。例如修改请求头的UA,Cookie,Referer信息,通过“伪造”相应信息达到相应的目的(调试,模拟用户真实请求等)。 ②构造请求数据,突破表单的限制,随意提交...
必测支付漏洞(一)使用fiddler篡改支付金额
热门推荐
Lambda_Y的博客
04-19 7万+
互联网产品中常会遇到支付功能,测试人员测试这部分功能时一定要重视,因为如果这部分出现了较严重的bug,将会给公司带来不小的经济损失!如果你测出了问题领导也一定会高兴的!因此测试优先级很高,但具有一定难度,刚接触测试的小白们可能不知道支付功能有哪些测试点,作为同为小白的我,就与大家分享一下我学习并致用于工作中的成果吧!         今天这篇介绍一下支付功能的测试点之一——篡改支付金额。设想
【SRC实战】修改赠送金额支付漏洞
最新发布
qq_45196785的博客
05-13 331
1、充值30元赠送1.9元礼包,充值100元赠送7元礼包,充值500元赠送57.5元礼包。1、支付漏洞触发风控,赠送金额实际上无法到账,但由于是核心系统核心业务,所以还是给了低危。4、请求包中充值金额与现金比为100:1,发现页面显示为“充值0.01赠金7000元”3、选择100元套餐,burp抓包,修改amt充值金额为1,zsAmt赠送金额为。2、充值任意金额突破最小充值金额限制,给财务系统造成混乱,影响企业财务管理。2、点击更多充值档位,可以看到系统最低充值金额为30元。5、微信支付充值成功。
(34.2)【支付漏洞专题】漏洞原理、产生、环境、篡改数据过程、漏洞利用……
04-13 3641
【专题】支付漏洞从0到1
fiddler抓包修改金额教程+工具
02-23
资料包含视频+文档+工具,主要目的使用fiddler抓包工具实现购物商品的价格进行幕改来进行支付
挖洞技巧:支付漏洞之总结
weixin_44522540的博客
04-02 754
文章目录前言0x01 修改支付价格0x02 修改支付状态0x03 修改购买数量0x04 修改附属值0x05 修改支付接口0x06 多重替换支付0x07 重复支付0x08 最小额支付0x09 值为最大值支付问题0x10 越权支付0x11 无限制试用0x12 修改优惠价 前言 支付漏洞一直以来就是高风险,对企业来说危害很大,对用户来说同样危害也大。就比如我用他人账户进行消费,这也属于支付漏洞中的越权问题。那么支付漏洞一般存在在哪些方面呢,根据名字就知道,凡是涉及购买、资金等方面的功能处就
fiddler修改支付金额_软件测试——支付模块测试方法及注意事项
weixin_39705069的博客
11-24 1511
支付流程示意图:1、支付正常流程按照需求说明,进行常规支付操作。期望,支付成功,且无任何报错情况。(1)订单支付金额为整数(2)订单支付金额为小数(3)拆分类交易:交易进行拆分,上送拆分明细(4)分别使用wifi和4G进行支付2、支付异常流程1.1 相关配置验证  (1)未开通对应渠道的支付开关  (2)未配置对应渠道的支付参数类  (3)未安装对应渠道APP(支付宝、微信等)  (4)未登陆对应...
完整版 fiddler抓包修改金额教程+工具.rar
12-30
亲测好用,挺不错的资源,大家快来下载吧!挺有用的!需要的话可以来下载哦!资料包含视频+文档+工具,主要目的使用fiddler抓包工具实现购物商品的价格进行幕改来进行支付
fiddler Android下https抓包全攻略
燕十二的BLOG
02-28 1万+
fiddler Android下https抓包全攻略      fiddler的http、https的抓包功能非常强大,可非常便捷得对包进行断点跟踪和回放,但是普通的配置对于像招商银行、支付宝、陌陌这样的APP是抓不到包的,需要一些特殊的配置,本文把fiddler Android下https抓包的详细配置都罗列出来,供大家参考。 一、普通https抓包设置 先对Fiddler进行设置:
支付宝——PC端支付
厚积薄发
10-25 1万+
支付宝——电脑(PC端)支付 首先登录蚂蚁金服开放平台,入驻选择自由研发的这些就不说了,注册下信息就可以了。 在开发者中心,开放者接入进行创建应用,添加功能等操作 创建完对应的应用后,去应用列表添加电脑网站支付的功能 签约是需要额外的一些信息的,填写一下就可以了 这时候,我们点击电脑网站支付,可以直接来到 开发文档的页面,我们可以按照这个文档一步步的照做。 直接来到快速接入的里面,...
支付宝二维码可以抓包更改金额_mac下 安卓模拟器抓包推荐 - _恒
weixin_39715290的博客
11-13 863
安卓机子还在用,不想root,那就先弄个模拟器吧一、Genymotion1.先下载Virtua Box虚拟机https://www.virtualbox.org/wiki/Downloads2.下载 Genymotion,前提是要先注册https://www.genymotion.com/3.安装好上面2个之后软件之后,先打开Virtua Box 在打开Genymotion,并登陆Genymo...
淘宝售中产品标题修改工具
11-27
淘宝售中产品标题修改工具,批量导入标题,自动修改标题,支持分类搜索
万能抓包FIDDLER
04-02
万能的抓包工具 方便抓包 改写 特别好的工具
Fiddler抓包最全攻略.doc
05-06
对于想抓取HTTPS的测试初学者来说,常用的工具就是fiddler。可是在初学时一步步按着网上的帖子结果还是出问题。 所以我们来从头捋一遍,再列出经常会出现的问题。
游戏充值订单金额修改思路与实践
kfyzjd2008的博客
09-15 9304
观察代码,price变量在其他位置的代码注释中标注为付款金额(元),我们猜测这里有可能是商户server返回的订单信息,并且方法结尾有一个Native层的方法调用。商户server可以拿到充值后的订单详情,如果校验真实充值金额,那么可能会收不到充值的游戏道具。这里我们重新加密.lua文件后不能按前一篇的方法,MT管理器直接覆盖掉apk目录下的同名文件。那么我们是否可以在app调起第三方支付时将商户Server返回的参数中的订单金额修改掉。第一次尝试时,找错了代码,所以没有成功,这个文章后面我会讲。
最详细,Fiddler使用教程 (定位/抓包/篡改数据) 工作中真实应用......
大佬云集技术答疑交流群:743262921(进群暗号:222)
03-26 4071
定位前后端bug当我们操作页面端发现一个bug时,对业务充分熟悉且有足够经验的测试工程师可以直接判断是否前后端bug;但无经验的不要慌,可通过fiddler抓取request、response数据,分析定位前后端bug。Fiddler怎么配置以及怎么抓取数据,前面有写,这里不再过多叙述。查看请求的http状态码是否正确。例:若抓取到的请求返回的http状态码为404,说明可能是前端JS 提交了错误的地址,也可能是后端服务器没有对应地址的服务;
Python+Requests接口测试教程(1):Fiddler抓包工具
qq4165498的博客
09-02 2万+
本书涵盖内容:fiddler、http协议、json、requests+unittest+报告、bs4、数据相关(mysql/oracle/logging)等内容。 刚买须知:本书是针对零基础入门接口测试和python+requests自动化的,首先本书确实写的比较基础,对基础内容也写的很详细,所以大神绕道。 为什么要先学fiddler? 学习接口测试必学http协议,如果直接先讲协议,我估
抓包工具fiddler2
自有贵人相助
09-28 907
转自:http://blog.163.com/hlz_2599/blog/static/142378474201381102837194/
fiddler篡改支付金额
08-11
Fiddler是一个抓包工具,可以用于拦截和修改HTTP请求和响应数据。通过使用Fiddler,用户可以修改支付金额以及其他相关数据。拦截HTTP请求是Fiddler的一个功能,可以修改请求头信息、构造请求数据并拦截响应数据。设置断点可以在发送请求之后但Fiddler代理中转之前修改请求的数据,也可以在服务器响应之后但在Fiddler将响应中转给客户端之前修改响应的结果。使用Fiddler进行支付金额篡改可以通过拦截相应的HTTP请求,并修改其中的支付金额参数来实现。这种方式可能会对支付功能造成严重的漏洞,因此支付功能的测试非常重要。测试人员应该对支付功能进行全面的测试,以确保支付金额和其他相关数据的安全性和准确性。123 #### 引用[.reference_title] - *1* *3* [必测支付漏洞(一)——使用fiddler篡改支付金额](https://blog.csdn.net/weixin_30564901/article/details/94955508)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}} ] [.reference_item] - *2* [支付必测--使用fiddler篡改支付金额](https://blog.csdn.net/weixin_38170137/article/details/101410058)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值