【靶场部署】业务安全测试-大米CMS-V5.4电子商城
1 业务数据安全
概述:商品数量篡改测试是通过在业务流程中抓包修改订购商品数量等字段,以判断服务器是否存在商品订购数量篡改漏洞。
手段:将请求中的商品数量修改成任意非预期数额、负数等进行提交,查看业务系统能否以修改后的数量完成业务流程。
目的:该项测试主要针对商品订购的过程中,服务器对异常交易数据处理缺乏风控机制而导致相关业务逻辑漏洞。
2 实验介绍
2.1 实验目的
加深对业务数据安全重要性的理解;
掌握测试业务数据是否存在篡改交易数据漏洞的方法。
2.2 实验环境
1、实验靶场—本节实验靶场是在windos10系统上基于phpstudy搭建的一个简单网站,phpstudy的安装过程可以自行百度
2、下载damiCMS-V5.4版CMS电子商城代码。
链接:https://pan.baidu.com/s/1b-Z6RaFBZ6CsSIErY46Pyg?pwd=q8qq
提取码:q8qq
3、解压并复制文件夹到靶机中的根目录下。不同版本的phpstudy软件的安装时生成的目录可能存在差异,本文dami_5.4路径如下
4、真实机浏览器输入192.168.1.6/dami_5.4
访问damiCMS,因为还没安装,需要先按以下步骤安装CMS
页面滑到最下方,勾选并点击继续
5、填写信息:
(1)phpstudy中数据库的账号及密码,默认可以设置为root,数据库名填写dami。
(2)管理员用户及密码均设置为admin。页面滑到最下方,勾选并点击继续
6、安装完成,点击访问网站首页
7、点击右上角注册,填写用户名、密码、邮箱,并点击确定注册。
8、点击右上角进入登录页面,试试登录刚刚的账号
本文来自博客园,作者:橘子偏爱橙子,转载请注明原文链接:https://www.cnblogs.com/xfbk/p/17910054.html