6.8登录点及数据篡改

登录应用功能检测(大型商品网站不存在,小网站可能有)

1、http网站密码传输为明文传输(未使用ssl加密);

进行相对于的爆破操作时,也需要对字典进行加密;

2、cookie脆弱性

修改数据包中cookie进行绕过(是否有修改功能点);

数据篡改安全问题

1、商品购买

选择商品和数量--选择支付和配送方式--生成订单编号--订单支付选择--完成支付

2、常见修改参数

商品参数ID(修改商品信息达到低价购买)、购买价格、购买数量(负数)、支付方式、订单号(修改不同价格的订单编号)、支付状态等;

3、常见修改方法

替换支付(更改支付接口)、重复支付、最小额支付、溢出支付、优惠卷支付(更改优惠价格);

原理

数据包中一些关键数据的接收标准,安全做法是以数据库为标准,若以网站中一些可修改接受值标准,则会出现漏洞;

posted @   路Sang  阅读(9)  评论(0编辑  收藏  举报
相关博文:
阅读排行:
· 分享一个免费、快速、无限量使用的满血 DeepSeek R1 模型,支持深度思考和联网搜索!
· 基于 Docker 搭建 FRP 内网穿透开源项目(很简单哒)
· ollama系列01:轻松3步本地部署deepseek,普通电脑可用
· 25岁的心里话
· 按钮权限的设计及实现
点击右上角即可分享
微信分享提示