Web 攻防之业务安全:支付商品金额篡改 测试.
业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库,中间件等)、业务系统自身(软件或设备)、业务所提供的服务安全;狭义的业务安全指业务系统自有的软件与服务的安全。
目录:
测试主要针对订单生成的过程中存在商品支付金额校验不完整而产生业务安全风险点,通常导致攻击者用实际支付远低于订单支付的金额,订购商品的业务逻辑漏洞。
第一步:在购买商品的页面,把商品加入购物车,并在加入购物车的过程中使用Burp Suite 工具进行数据包拦截.
第二步:在 Burp Suite 工具抓包中找到对应的金额并修改为0.01
第三步:点击购物车,可以看到购买这个商品只需要0.01就行.
免责声明:
严禁利用本文章中所提到的虚拟机和技术进行非法攻击,否则后果自负,上传者不承担任何责任。
支付商品金额篡改 测试:
测试原理和方法:
通常在订购类交易过程中,容易出现服务器端未对用户提交的业务数据进行强制校验,过度信赖客户端提交的业务数据而导致商品金额篡改漏洞,商品金额篡改测试通过抓包,修改业务过程中的交易金额。例如在支付页面抓取请求中商品的金额,然后修改任意金额并提交查看是否修改后的金额数据完成业务的流程。
测试过程:
测试主要针对订单生成的过程中存在商品支付金额校验不完整而产生业务安全风险点,通常导致攻击者用实际支付远低于订单支付的金额,订购商品的业务逻辑漏洞。
第一步:在购买商品的页面,把商品加入购物车,并在加入购物车的过程中使用Burp Suite 工具进行数据包拦截.
第二步:在 Burp Suite 工具抓包中找到对应的金额并修改为0.01
第三步:点击购物车,可以看到购买这个商品只需要0.01就行.
修复建议:
商品信息,如金额,打折等原始数据的校验应来是服务器端,不应接受客户端传来的值.
学习的书籍:Web 攻防之业务安全实战指南.