业务数据安全--任意商品购买

已于 2023-09-06 21:56:41 修改
阅读量53 收藏
点赞数
文章标签: 前端
于 2023-09-06 20:56:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51214674/article/details/132723389
版权
本文详细描述了如何利用damicms_5.4版本的网上商城系统进行商品订购数量篡改的测试,揭示了业务流程中对异常数据处理的漏洞,以及如何模拟攻击并创建数据库进行环境准备。
摘要由CSDN通过智能技术生成

商品订购数量篡改

典型案例----damicms_5.4_ 网上商城任意商品购买

商品数量篡改测试是通过在业务流程中抓包修改订购商品数量等字段,如将请求中的商品数量修改成任意非预期数额、负数等进⾏提交,查看业务 系统能否以修改后的数量完成业务流程。

​ 该项测试主要针对商品订购的过程中对异常交易数据处理缺乏⻛控机制而导致相关业务逻辑漏洞,例如针对订购中的数量、价格等缺乏判断而产生 意外的结果,往往被攻击者利⽤。

环境准备

damicms_5.4链接:https://pan.baidu.com/s/1qSwR2EqMDu35G8QTmCdH8w
提取码:vwyg

开启虚拟机Windows server 2008 phpstudy,将damicms_5.4文件解压复制到C:\phpStudy\www

cmd创建数据库:

show databases;
create database damicms;

image-20230906172420430

实验

在bp的浏览器URL中输入192.68.7.132

image-20230906172635665

image-20230906172658112

按照指示安装环境,创建数据库

注册

image-20230906172836331

image-20230906202405219

image-20230906204053623

image-20230906203324996

随便点击一个产品,立即购买

先打开bp拦截再提交订单

image-20230906205401011

image-20230906205016282

image-20230906204534399

image-20230906205327286

image-20230906205305428

上一篇文章:业务数据安全–一分钱买电冰箱
下一篇文章:密码找回安全–接口参数账号修改

§666§
关注
朋科PECU-ERP企业资源管理系统 v14051701.zip
07-11
8.独有十二级用户授权控制机制,数据安全无忧。 从董事长到普工共分12个级别精确控制操作员对系统数据的访问和修改权限,甚至可精确控制每个用户对每个数据的操作权限。非常方便用户管理不同操作员的操作权限。不用...
阿里云弹性伸缩-常见问题.pdf
10-11
- Product Code与地域:一个Product Code可以在支持该商品镜像的任意地域使用。 - 镜像购买:请购买所需地域的镜像。 3. **密码登录问题**: - 弹性伸缩实例无统一密码:推荐使用SSH公私钥认证登录,以提高安全...
关联分析在学生成绩数据挖掘的应用.pdf
07-14
这种分析方法最初被应用在商业领域,用于研究顾客的购物习惯,比如发现哪些商品常常被同时购买。随着技术的发展,关联分析也开始被应用到教学领域,如学生成绩数据的挖掘分析。 在介绍关联分析在学生成绩数据挖掘的...
商城账户订单页面插件 for PHP168.rar
07-14
此页面通常会包括订单编号、购买商品、下单时间、订单状态(如待付款、待发货、已发货、已完成等)、总价以及操作选项(如查看详情、申请退款、确认收货等)。用户可以通过这个页面方便地追踪他们的购买历史和订单...
ASSISTANT_UNLIMITED_27-07_use_unlimited_
10-01
在企业运营中,采购管理涉及从供应商处购买商品和服务,包括需求分析、供应商选择、合同谈判、订单处理、支付结算等环节。通过VBA,这个工作簿可能提供了自动化这些过程的功能,提高了效率并减少了错误。 在标签...
前端的全栈混合之路Meteor篇:3.0新版本介绍
分享有趣的、贴近生活的CS知识
10-01 999
Meteor全栈框架3.0版本终于稳定下来了,它的效果约等于webpack+vue+express+socket.io+mongodb+npm+uniapp,学一个搞定全套,值得学习了解下,最后找到适合于自己的技术栈。
Javascript数组研究03_手写实现_fill_filter_find_findIndex_findLast_findLastIndex
最新发布
qq_33546823的博客
10-03 907
fill()方法用一个固定值填充一个数组中从起始索引(默认为 0)到终止索引(默认为)内的全部元素。它返回修改后的数组。输入参数value:用来填充数组元素的值。start(可选):开始填充的位置,默认值为 0,索引处理方法和copyWithin一致。end(可选):停止填充的位置(不包含该位置),默认值为,索引处理方法和copyWithin方法一致。输出:修改后的原数组。注意事项该方法会改变原数组,是修改方法。对于稀疏数组,空槽也会被value填充。是通用的方法在空数组上不会有任何处理。
Vue实战教程:如何用JS封装一个可复用的Loading组件
Jiaberrr的博客
09-28 559
通过以上步骤,我们成功在Vue项目中封装了一个可复用的Loading组件。在实际开发中,我们可以根据项目需求对Loading组件进行样式和功能的扩展,使其更加完善。封装组件是提高代码复用性和维护性的有效手段,希望本文能对你有所帮助。
登录功能开发 P167重点
2303_81204446的博客
09-30 341
前端无法识别controller方法,因此存在Dispa什么的。Claims:jwt中的第二部分。
Web认识 -- 第一课
ZxVSaccount的博客
09-30 1150
这里是我们进入前端学习的开端,在本次更新之后我会陆续上传html,css,javaScript等相关语言的教程,有感兴趣的小伙伴们点点关注,未来我们一起学习!IE、火狐和谷歌是目前互联网上的三大浏览器,其他常用的浏览器还有苹果的Safari浏览器和欧朋浏览器等。对于一般的网站,只要兼容IE浏览器、火狐浏览器和谷歌浏览器,就能满足绝大多数用户的需求。本节主要简单介绍了一下关于HTML、CSS、JavaScript的一些基本概念,有感兴趣的朋友,点点关注我们一起学习,博主持续更新中!
第十一章 【前端】调用接口(11.1)——Vite 环境变量
qdbest的专栏
09-29 122
Vite。
前端面试经验总结2(经典问题篇)
rita_0567的博客
09-28 994
因为计算机技术的快速发展,所以程序员如果不能保持对技术的持续性学习,会更容易的被淘汰,我从来不觉得程序员是一个轻松的职业,但是程序员是我最热爱的职业,我做好了充足的准备让自己能够长期在前端行业深耕。既要扩充自己的知识宽度,同时又不要一味的追求学习的东西越多越来,今天学两天这个,明天学两天那个,工作中又没有得到使用的话,很快也都会忘记的。了解,贵公司主要是在xxx行业从事xxx业务,贵公司所处的行业是我非常看好的,我感觉贵公司的氛围我很喜欢,比如xxxx。遇到了哪些挑战,我如何在不利的条件下成长起来的。
vue框架和uniapp框架区别
ning的博客
10-02 1008
Vue.js 是一个构建用户界面的渐进式框架,非常适合用来创建单页应用(SPA)。它的核心库只关注视图层,易于学习和集成,同时拥有丰富的生态系统,包括路由管理、状态管理和各种插件。Uni-app 是一个使用 Vue.js 开发所有前端应用的框架,支持编译到多个平台,包括iOS、Android、Web、以及各种小程序等。Uni-app 旨在“一套代码,多端运行”,极大地提高了开发效率。Vue.js 和 Uni-app 都是强大的前端框架,但它们的重点和应用场景有所不同。
Python Web 与量子计算
weixin_52392194的博客
09-30 1061
随着量子计算的普及,越来越多的云服务平台提供了量子计算能力,其中 IBM 的 Qiskit 是一个开源的量子计算框架,允许开发者轻松地在 Python 环境中调用量子计算资源。通过 Qiskit,Python Web 开发者可以将量子计算的强大能力集成到自己的应用中,提供更高效的计算解决方案。例如,通过量子算法,分析大量的市场数据,预测未来的市场走势,进而制定最佳的投资策略。通过这种方式,开发者可以将量子计算的强大功能暴露给前端应用,使得用户能够轻松体验量子计算的魅力,同时也为未来的量子应用奠定了基础。
摩尔平台今日学习点
onforget的博客
09-29 330
了解到Java代码上的bussOutMateriel的类,里面有很多关于赋值的代码,他们能够很好很方便的帮助开发人员制作代码,修改页面应该要去关注他的id以及代码的制作方式以及理解方式。今天学习了修改前端代码,修复了很多东西,比如说修复了修改的回显以及弹出多选选择框修改成单选选择框,修改修改没有回显的办法,然后我认为,修改sql语句的方法,然后就是sql语句的书写。最后就是前端代码的书写。
DataEase v2 开源代码 Windows 从0到1环境搭建
chajinglong的专栏
10-01 1121
项目在进行整体构建时首先编译构建前端代码,前端生成dist发布资源目录,后端将此目录文件复制到\core\core-backend\src\main\resources\static\assets\ 中,并封装在编译后的jar中,而前端编译过程也在pom.xml中进行配置,打开前端项目 core-frontend 目录中的pom.xml文件,找到和
构建.NET Core Web API为Windows服务安装包
学习和分享
09-28 422
请注意,以上步骤仅适用于将.NET Core Web API作为Windows服务安装。如果需要更高级的功能,例如服务启动类型、日志记录等,可能需要进一步的自定义和配置。安装完成后,.NET Core Web API将作为Windows服务在目标服务器上运行。可以通过NuGet包管理器或在.csproj文件中手动添加引用。方法,以便将Web API应用程序作为Windows服务运行。创建一个新的.NET Core Web API项目或使用现有的项目。文件夹中,找到发布的Web API应用程序和安装脚本。
前端全屏模式切换
yangyanqin2545的博客
09-27 638
【代码】前端全屏模式切换。
前端算法合集-1(含面试题)
m0_63324578的博客
09-30 337
给定一个包含重复元素的数组,请你编写一个函数对数组进行去重,并按元素出现的次数从高到低排序。如果次数相同,则按元素值从小到大排序。(这是我面试一家中厂公司的二面算法题)
SHA-1算法详解:计算机网络数据安全的核心
"本文主要介绍了SHA1算法在计算机网络数据保密与安全中的应用,以及SHA1的基本原理和工作过程。SHA1是SHA算法的改进版本,由美国国家标准局发布,并被广泛用于数字签名和消息摘要生成。" SHA1是安全散列算法...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

§666§

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值