6.8登录点及数据篡改
登录应用功能检测(大型商品网站不存在,小网站可能有)
1、http网站密码传输为明文传输(未使用ssl加密);
进行相对于的爆破操作时,也需要对字典进行加密;
2、cookie脆弱性
修改数据包中cookie进行绕过(是否有修改功能点);
数据篡改安全问题
1、商品购买
选择商品和数量--选择支付和配送方式--生成订单编号--订单支付选择--完成支付
2、常见修改参数
商品参数ID(修改商品信息达到低价购买)、购买价格、购买数量(负数)、支付方式、订单号(修改不同价格的订单编号)、支付状态等;
3、常见修改方法
替换支付(更改支付接口)、重复支付、最小额支付、溢出支付、优惠卷支付(更改优惠价格);
原理
数据包中一些关键数据的接收标准,安全做法是以数据库为标准,若以网站中一些可修改接受值标准,则会出现漏洞;
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步