WEB漏洞-逻辑越权之登录脆弱及支付篡改

在这里插入图片描述
HTTP:传输数据时不加密
HTTPS:传输数据时加密
(不绝对)

如果网站是HTTP,可以用爆破测试。
如果网站是HTTPS,不知道网站的加密方式,是不能进行爆破测试的(知道加密方式,可以把你的数据采用同样的加密方式进行爆破)。

如果通过burp爆破时,把铭文加密进行爆破测试
在这里插入图片描述此处选择加密的方式
在这里插入图片描述勾选后,密码就会进行md5加密后,再去访问数据包进行爆破。

Cookie 脆弱点验证

例子:
在这里插入图片描述代码解析:
当用户访时,把cookie中user里面的值赋给变量$user,通过if进行判断,当变量$user里面的值为空时,跳转到登陆页面。(检测用户是否登陆)
漏洞:
用if检测时只检测了cookie中的值是否为空,却没有检测cookie中值的内容

在这里插入图片描述

数据篡改安全问题

原理,检测,危害,修复等
参考:https://www.secpulse.com/archives/67080.html

#商品购买流程:
选择商品和数量-选择支付及配送方式-生成订单编号-订单支付选择-完成支付

#常见篡改参数:
商品编号 ID,购买价格,购买数量,支付方式,订单号,支付状态等

#常见修改方法:
替换支付,重复支付,最小额支付,负数支付,溢出支付,优惠券支付等

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值