登录应用功能点安全问题
检测功能点:登录点就是登录的地方
检测:见下面的安全问题
危害:危害就是会直接登录进去
登录点安全问题
1.登录点暴力破解
2.HTTP/HTTPS传输
3.Cookie脆弱点验证
4.session固定点测试
5.验证密文比对安全测试
数据篡改安全问题
原理,检测,危害,修复等
参考: https://www.secpulse.com/archives/67080.html
商品购买流程
选择商品和数量-选择支付及配送方式-生成订单编号-订单支付选择-完成支付
常见篡改参数:
商品编号工D,购买价格,购买数量,支付方式,订单号,支付状态等
常见修改方法
替换支付,重复支付,最小额支付,负数支付,溢出支付,优惠券支付等
安全的购买价格应该是存储在数据库中的,以数据库中的数据为准,而不是按照修改的数据来
演示案例:
HTTP/HTTPS协议密文抓取:http一般是明文的,https是加密的,所以爆破的时候要加密
后台登录帐号密码爆破测试
Cookie脆弱点验证修改测试:cookie可能是明文或者是简单的明文加密
某商场系统商品支付逻辑测试-数量,订单:
某建站系统商品支付逻辑测试-价格,商品
字典推荐:
https://github.com/huyuanzhi2/password_brute_dictionary