初识Web渗透测试中的支付漏洞与思路

最新推荐文章于 2024-03-21 14:17:02 发布
VIP文章 最新推荐文章于 2024-03-21 14:17:02 发布
阅读量760 收藏 3
点赞数
分类专栏: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45581204/article/details/102289977
版权

什么是支付漏洞:

比如A产品原件是200元的产品,我们只需要支付小于200元的金额就可以购买了,这就是通过某种思路来完成的。

支付漏洞的危害:

支付漏洞一直以来就是是高风险,对企业来说危害很大,对用户来说同样危害也大。就比如我用他人账户进行消费,这也属于支付漏洞中的越权问题。那么支付漏洞一般存在在哪些方面呢,根据名字就知道,凡是涉及购买、资金等方面的功能处就有可能存在支付问题

支付漏洞的思路

  1. 修改支付状态
  • 就比如在购买一个产品的时候,目标程序用a来判断是否有支付,比如a的值是1时,说明支付成功,a的值为2时,说明支付失败,那我们可否来修改a的值来修改支付状态呢~
  1. 修改支付价格
  • 在支付当中,购买商品一般分为三步骤:订购、确认信息、付款。

那么这个修改价格具体是修改哪一步时的价格呢?在我看来,你可以在这三个步骤当中的随便一个步骤进行修改价格测试,如果前面两步有验证机制,那么你可在最后一步付款时进行抓包尝试修改金额,如果没有在最后一步做好检验,那么问题就会存在,其修改的金额值你可以尝试小数目或者尝试负数
AD:欢迎在以下专栏,学习完整Kali Linux渗透测试实战课程!

  • 比如某产品200元,我们可以来利用一下运费价格来抵消一下产品原件,就是通过抓包来修改运费为-190元,看能否成功。
  1. 修改支付接口

  • 什么是支付接口呢,比如像一些百度钱包支付,

最低0.47元/天 解锁文章
玄都长庚
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
单片机与DSP初识PIC单片机
12-06
PIC单片机的型号繁多,对初学者来说实在不好应付,容易混淆,以下作一简单分类,希望有助于初学者学习:   初档8位单片机:PIC12C5XXX/16C5X系列   PIC16C5X系列是最早在市场上得到发展的系列,因其价格较低,且有较完善的开发手段,因此在国内应用最为广泛;而PIC12C5XX是世界第一个八脚低价位单片机可用于简单的智能控制等一些对单片机体积要求较高的地方,前景十分广阔。   档8位单片机:PIC12C6XX/PIC16CXXX系列   PIC档产品是Microchip近年来重点发展的系列产品,品种最为丰富,其性能比低档产品有所提高,增加了断功能,指令周期可达到2
电子商务渗透测试
qq_43682308的博客
12-08 391
电子商务系统渗透测试 靶机地址: 用户名root 密码:000000 进入系统之后输入ip addr 获得ip地址 在浏览器如果想要: 访问前台ip/shop 访问后台ip/shop/admin 步骤 First 解析应用程序:链接的内容,隐藏的内容,非标准的访问方法 Second 分析应用程序:确定功能以及每一项功能有关的常见漏洞 Third 测试可能漏洞:根据解析出来的受攻击面进行测试 ...
支付类常见的漏洞挖掘技巧总结
最新发布
Donni_Y的博客
03-21 2566
支付类逻辑漏洞漏洞挖掘是常常出现的问题之一。此类漏洞挖掘思路多,奖励高,是炙手可热的漏洞。此篇文章主要围绕挖掘支付逻辑漏洞时的一些思路分享。
渗透测试-逻辑漏洞出现场景、利用方式总结
lza20001103的博客
08-23 477
逻辑漏洞出现场景、利用方式总结 文章目录逻辑漏洞出现场景、利用方式总结一、前台模块二、密码找回模块三、登录模块四、业务逻辑层模块五、案例分享1、逻辑支付六、漏洞思考组合拳1、Self-xss+Csrf组合拳2、逻辑漏洞组合拳3、设计缺陷组合拳4、第三方登录此外总结了一些思路一 、针对业务处二、漏洞处验证码问题短信轰炸水平越权数据泄露三、支付逻辑漏洞 一、前台模块 1、短信轰炸 参数修改短信轰炸,可以直接修改手机号或者其他参数 Cookie短信轰炸 根据业务的判断 2、手机号遍历枚举 绕过风控继续遍历 简单遍
一个完整挖洞 /src 漏洞实战流程「渗透测试
CSDN_430422的博客
06-27 818
只要搞渗透,不就会听到很多行业内人前辈一直在重复:“信息搜集” 信息搜集有多重要,你搜集到的多少资产信息,决定了你后续进行的一系列实战到什么程度!
支付漏洞渗透测试思路
剁椒鱼头没剁椒的博客
10-09 735
涉及一个网站所有的购买、支付等方面的功能处,都可能存在支付漏洞
渗透测试-安全岗位面试题总结(含答案)
lza20001103的博客
08-18 5015
渗透测试-安全岗位面试题总结(含答案) 1.上传漏洞 原理· 由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致用户可以越过其本身权限向服务器上传可执行的动态脚本文件, 并通过此脚本文件获得了执行服务端命令的能力。 危害 1、代码执行 上传文件是web脚本语言,服务器的web容器解释并执行了用户上传的脚本,导致代码执行; 2、域控 上传文件是flash的策略文件crossdomiain.xml,黑客用以控制flash在该域下的行为; 3、网站挂马 上传文件是病毒、木马,黑客用以诱骗用户或者管理员下
Web网页测试用例(非常实用)
软件测试技术交流分享
08-19 8173
Web测试,各类web控件测试点总结
web测试】实战1:去哪儿网购买火车票|优化|po模式
null
05-20 1179
web测试】实战1:去哪网购买火车票测试用例设计1.项目计划2.测试用例项目实战脚本基本代码优化 测试用例设计 1.项目计划 制定测试计划 对象 (What)——什么事情 场所 (Where)——什么地点 时间和程序 (When)——什么时候 人员 (Who)——责任人 为什么(Why)——原因 方式 (How)——如何 通盘考虑能遇见的活动集合及异常风险等问题,提早构思弥补方案 测试范围 项目的测试范围,个人的测试范围 项目设定目标 规划活动 项目简介 自动化地实现在去哪儿网订购火车票的目的
零成本实现Web性能测试:基于Apache JMeter
04-14
实战章节作者以测试某大型保险公司电话销售系统为例,手把手教会读者如何用jmeter来完成一个实际的性能测试任务。  本书内容丰富、知识点讲解透彻,适合软件测试工程师、测试经理、高等院校相关专业的学生参考...
Web UI自动化测试总结以及unittest框架初识.zip
11-17
Web UI自动化测试总结以及unittest框架初识.zip
初识KatalonStudio自动化测试工具
02-24
Web自动化测试我们经常选择Selenium,因为它开源免费,支持不同的开发语言,还有录制功能,从一定程度上减少了测试人员开发脚本的成本;做App自动化测试我们通常选择Appium,它也是开源免费,同时支持Android和IOS...
挖洞技巧:支付漏洞之总结(转载)
Allan_shore_ma的博客
02-11 2645
挖洞技巧:支付漏洞之总结 Web安全 作者: 剑影 ...
挖洞技巧:支付漏洞之总结
weixin_44522540的博客
04-02 732
文章目录前言0x01 修改支付价格0x02 修改支付状态0x03 修改购买数量0x04 修改附属值0x05 修改支付接口0x06 多重替换支付0x07 重复支付0x08 最小额支付0x09 值为最大值支付问题0x10 越权支付0x11 无限制试用0x12 修改优惠价 前言 支付漏洞一直以来就是高风险,对企业来说危害很大,对用户来说同样危害也大。就比如我用他人账户进行消费,这也属于支付漏洞的越权问题。那么支付漏洞一般存在在哪些方面呢,根据名字就知道,凡是涉及购买、资金等方面的功能处就
记一次某三方支付平台渗透-任意文件读取后获得后台
scottqian84的博客
09-05 1729
记一次某平台渗透-任意文件读取后获得后台 项目: 提示:这是一个某支付平台的源码 例如:项目场景:改平台用于对接一些特殊行业,你懂的,总他的源码可以看出下面的问题 问题描述: 提示:明显有一个修改库信息的的地方,并且没有过滤 下面是源码: public function editTableParam() { $table = input('post.table'); $param = input('post.param');
【愚公系列】2023年05月 Web渗透测试支付逻辑攻击
热门推荐
时光隧道
08-25 5万+
支付逻辑攻击是指攻击者利用支付系统的漏洞或错误设计,以不正当的方式获取支付服务提供商的服务或客户的资金,并将其转移到攻击者控制的账户。常见的支付逻辑攻击包括退款欺诈、交易重放、交易篡改等。攻击者通过操纵支付参数、发送虚假信息等手段欺骗支付系统实现攻击目的。
挖洞思路----支付漏洞
晚风不及你
07-14 3274
介绍 看了好多篇关于各位大佬总结的支付漏洞的技巧、思路等。现在想自己总结一下,仅用于个人学习使用。写这篇总结,案例什么的我就不放了,只用文字进行总结,避免造成各种不好的影响。 X-01修改支付金额参数 在常见购买商品过程下三大步: 选购商品–>确认订单信息(此处也会存在各种优惠券积分等功能)–>付款(支付宝/微信/银联/自带钱包) 在这三步之,任何一步都可以进行修改金额参数来造成支付漏洞。抓包时要一个一个包,一个一个参数进行分析,不要漏过任何参数。找到代表金额的这个参数,进行修改为小单位金额放
(34.2)【支付漏洞专题】漏洞原理、产生、环境、篡改数据过程、漏洞利用……
04-13 3523
【专题】支付漏洞从0到1
初识ofdm(七):ofdm的信道估计 - csdn app
12-03
OFDM(正交频分复用)是一种常见的调制技术,它将高速数据流分成多个较低速的子载波进行传输,在无线通信得到广泛应用。而OFDM的信道估计是非常重要的,因为信道的特性会随着时间和环境的变化而发生变化,需要对...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值