安全测试 网上商城购买支付安全测试

网上商城购买支付安全测试

by:授客 QQ1033553122

 

测试思路:

测试前,查看了关于支付宝接口的相关资料,包括一些处理流程,大概了解下,觉得关于支付的测试主要在数据提交、请求这块。于是便想能否通过获取相关请求,自己模拟浏览器手动提交。百度下,找来Burp Suite这款工具。

 

工具下载地址:http://pan.baidu.com/s/1geqK7LL

 

本想着拦截相关数据请求,修改产品价格后再手动提交的,但是从获取到的数据来看,没看到相关痕迹呀,最后看到产品相关信息(id,购买价格,规格等),于是想着能否通过改产品id,间接改变价格呢?(价格不变,更换与产品不等价产品),于是试了下,发现还真行~~

 

总体来说,测试是一种思想~~要保持思维的发散性~~

 

关于安全测试,笔者也不太懂,下面是实际工作中的一个例子,分享出来,也算是抛砖引玉吧……

 

测试实践:

第1步、  设置代理监听

简单设置如下,Burp Suite v1.6.09版本中默认就配置好了

 



 

第2步、  设置浏览器代理

火狐为例

安全测试 <wbr>网上商城购买支付安全测试

 

注意:这里的配置信息要和第一步中的监听设置保持一致

 

第3步、  查看初始界面

安全测试 <wbr>网上商城购买支付安全测试

 

 

第4步、  浏览器中打开要购买的产品(产品1)页面

 



 

点击【intercept is off按钮,点击上述页面中的【立即购买】,捕获产品购买相关信息

安全测试 <wbr>网上商城购买支付安全测试

 

第5步、  同第4步操作,获取实际不想购买的产品(产品2)的相关信息

安全测试 <wbr>网上商城购买支付安全测试

 

 

安全测试 <wbr>网上商城购买支付安全测试

 

第6步、  重复第5步骤(如果未执行第5步的话),修改产品2的产品ID为产品1ID

 



 

第7步、  点击【intercept is on】按钮,查看浏览器访问情况

点击按钮后,浏览器自动跳转到以下界面

安全测试 <wbr>网上商城购买支付安全测试

 

 

从上图可看到,我们通过产品2(学派)来购买产品1(电磁笔),并且间接修改了产品1的价格(原价199,现价1元)

 

posted @   授客  阅读(539)  评论(0编辑  收藏  举报
编辑推荐:
· [.NET]调用本地 Deepseek 模型
· 一个费力不讨好的项目,让我损失了近一半的绩效!
· .NET Core 托管堆内存泄露/CPU异常的常见思路
· PostgreSQL 和 SQL Server 在统计信息维护中的关键差异
· C++代码改造为UTF-8编码问题的总结
阅读排行:
· 【.NET】调用本地 Deepseek 模型
· CSnakes vs Python.NET:高效嵌入与灵活互通的跨语言方案对比
· DeepSeek “源神”启动!「GitHub 热点速览」
· 我与微信审核的“相爱相杀”看个人小程序副业
· Plotly.NET 一个为 .NET 打造的强大开源交互式图表库
点击右上角即可分享
微信分享提示