基于Burpsuite的安全测试十三:业务流程乱序测试
情景1:业务流程绕过测试
- 如业务流程为,第一步输入手机号并发送验证码,第二步为输入验证码,第三步为注册成功。在第三步抓包,将手机号替换为其他人的,如果注册成功则跳过了第一步和第二步,绕过了正常的业务流程。
- 还有如某订单生成后流程走到的链接中,只需要提供对应的充值订单号就可以绕过支付环节,未经支付直接充值成功。
系统修复方案:
对敏感信息如身份证号、账号密码、订单号、金额等进行加密处理,并在服务器端对其进行二次比对。
对敏感信息如身份证号、账号密码、订单号、金额等进行加密处理,并在服务器端对其进行二次比对。