6.8登录点及数据篡改

登录应用功能检测（大型商品网站不存在，小网站可能有）

1、http网站密码传输为明文传输（未使用ssl加密）；

进行相对于的爆破操作时，也需要对字典进行加密；

2、cookie脆弱性

修改数据包中cookie进行绕过（是否有修改功能点）；

数据篡改安全问题

1、商品购买

选择商品和数量--选择支付和配送方式--生成订单编号--订单支付选择--完成支付

2、常见修改参数

商品参数ID（修改商品信息达到低价购买）、购买价格、购买数量（负数）、支付方式、订单号（修改不同价格的订单编号）、支付状态等；

3、常见修改方法

替换支付（更改支付接口）、重复支付、最小额支付、溢出支付、优惠卷支付（更改优惠价格）；

原理

数据包中一些关键数据的接收标准，安全做法是以数据库为标准，若以网站中一些可修改接受值标准，则会出现漏洞；