各功能点漏洞测试项三（电商行业）

一、登录

业务逻辑漏洞：暴力破解用户名密码、撞库、验证码爆破和绕过、手机号撞库、账户权限绕过；

二、注册

业务逻辑漏洞：恶意用户批量注册、恶意验证注册账户、存储型xss；

三、密码找回

业务逻辑漏洞：重置任意用户账号密码、批量重置用户密码、新密码劫持、短信验证码劫持、用户邮箱劫持篡改；

四、购买支付

业务逻辑漏洞：商品金额篡改、商品数量篡改、交易信息泄露；

五、抽奖活动

业务逻辑漏洞：刷取活动奖品、盗刷积分、抽奖作弊；

六、代金劵/优惠劵

业务逻辑漏洞：批量刷取代金劵/优惠劵、更改代金劵金额、更改代金劵数量；

七、订单

业务逻辑漏洞：订单信息泄露、用户信息泄露、订单遍历；

八、账户

业务逻辑漏洞：账户绕过、账户余额盗取、账户绑定手机号绕过；

九、抢购活动

业务逻辑漏洞：低价抢购、抢购作弊、刷单；

十、运费

业务逻辑漏洞：运费绕过；

十一、会员系统

业务逻辑漏洞：用户越权访问、个人资料信息泄露、个人资料遍历；

十二、传输过程

业务逻辑漏洞：cookie注入、cookie跨站、cookie劫持；

十三、评论

业务逻辑漏洞：post注入、csrf、存储型xss、遍历用户名；

十四、第三方商家

业务逻辑漏洞：盗号、商家账号遍历、越权访问其他商家用户；