HTTP:传输数据时不加密
HTTPS:传输数据时加密
(不绝对)
如果网站是HTTP,可以用爆破测试。
如果网站是HTTPS,不知道网站的加密方式,是不能进行爆破测试的(知道加密方式,可以把你的数据采用同样的加密方式进行爆破)。
如果通过burp爆破时,把铭文加密进行爆破测试
此处选择加密的方式
勾选后,密码就会进行md5加密后,再去访问数据包进行爆破。
Cookie 脆弱点验证
例子:
代码解析:
当用户访时,把cookie中user里面的值赋给变量$user,通过if进行判断,当变量$user里面的值为空时,跳转到登陆页面。(检测用户是否登陆)
漏洞:
用if检测时只检测了cookie中的值是否为空,却没有检测cookie中值的内容
数据篡改安全问题
原理,检测,危害,修复等
参考:https://www.secpulse.com/archives/67080.html
#商品购买流程:
选择商品和数量-选择支付及配送方式-生成订单编号-订单支付选择-完成支付
#常见篡改参数:
商品编号 ID,购买价格,购买数量,支付方式,订单号,支付状态等
#常见修改方法:
替换支付,重复支付,最小额支付,负数支付,溢出支付,优惠券支付等