各功能点漏洞测试项三(电商行业)
一、登录
业务逻辑漏洞:暴力破解用户名密码、撞库、验证码爆破和绕过、手机号撞库、账户权限绕过;
二、注册
业务逻辑漏洞:恶意用户批量注册、恶意验证注册账户、存储型xss;
三、密码找回
业务逻辑漏洞:重置任意用户账号密码、批量重置用户密码、新密码劫持、短信验证码劫持、用户邮箱劫持篡改;
四、购买支付
业务逻辑漏洞:商品金额篡改、商品数量篡改、交易信息泄露;
五、抽奖活动
业务逻辑漏洞:刷取活动奖品、盗刷积分、抽奖作弊;
六、代金劵/优惠劵
业务逻辑漏洞:批量刷取代金劵/优惠劵、更改代金劵金额、更改代金劵数量;
七、订单
业务逻辑漏洞:订单信息泄露、用户信息泄露、订单遍历;
八、账户
业务逻辑漏洞:账户绕过、账户余额盗取、账户绑定手机号绕过;
九、抢购活动
业务逻辑漏洞:低价抢购、抢购作弊、刷单;
十、运费
业务逻辑漏洞:运费绕过;
十一、会员系统
业务逻辑漏洞:用户越权访问、个人资料信息泄露、个人资料遍历;
十二、传输过程
业务逻辑漏洞:cookie注入、cookie跨站、cookie劫持;
十三、评论
业务逻辑漏洞:post注入、csrf、存储型xss、遍历用户名;
十四、第三方商家
业务逻辑漏洞:盗号、商家账号遍历、越权访问其他商家用户;