基于Burpsuite的安全测试十四：业务流程乱序测试

基于Burpsuite的安全测试十三：业务流程乱序测试

情景1：业务流程绕过测试

1. 如业务流程为，第一步输入手机号并发送验证码，第二步为输入验证码，第三步为注册成功。在第三步抓包，将手机号替换为其他人的，如果注册成功则跳过了第一步和第二步，绕过了正常的业务流程。
2. 还有如某订单生成后流程走到的链接中，只需要提供对应的充值订单号就可以绕过支付环节，未经支付直接充值成功。

系统修复方案：

对敏感信息如身份证号、账号密码、订单号、金额等进行加密处理，并在服务器端对其进行二次比对。