各功能点漏洞测试项二（P2P金融行业）

一、登录

业务逻辑漏洞：暴力破解用户名密码、撞库、验证码爆破和绕过、手机号撞库、账户权限绕过；

二、注册

业务逻辑漏洞：恶意用户批量注册、恶意验证注册账户、存储型xss；

三、密码找回

业务逻辑漏洞：重置任意用户账号密码、批量重置用户密码、新密码劫持、短信验证码劫持、用户邮箱劫持篡改；

四、购买支付

业务逻辑漏洞：商品金额篡改、商品数量篡改、交易信息泄露；

五、充值

业务逻辑漏洞：虚假充值金额、充值数量篡改、篡改充值账户；

六、抽奖活动

业务逻辑漏洞：刷取活动奖品、盗刷积分、抽奖作弊；

七、代金劵/优惠劵

业务逻辑漏洞：批量刷取代金劵/优惠劵、更改代金劵金额、更改代金劵数量；

八、订单

业务逻辑漏洞：订单信息泄露、用户信息泄露、订单遍历；

九、账户

业务逻辑漏洞：账户绕过、账户余额盗取、账户绑定手机号绕过；

十、会员系统

业务逻辑漏洞：用户越权访问、个人资料信息泄露、个人资料遍历；

十一、传输过程

业务逻辑漏洞：cookie注入、cookie跨站、cookie劫持；

十二、评论

业务逻辑漏洞：post注入、csrf、存储型xss、遍历用户名；