手机号码篡改测试, 用户ID篡改测试
订单ID篡改测试-业务安全测试实操(5)_luozhonghua2000的博客-CSDN博客
手机号码篡改测试
测试原理和方法
手机号通常可以代表一个用户身份。当请求中发现有手机号参数时,我们可以试着修改它,测试是否存在越权漏洞。系统登录功能一般先判断用户名和密码是否正确,然后通过Session机制赋予用户令牌。但是在登录后的某些功能点,开发者很容易忽略登录用户的权限问题。所以当我们用 A 的手机号登录后操作某些功能时,抓包或通过其他方式尝试篡改手机号,即可对这类问题进行测试
测试过程
攻击者登录后,在操作某些功能时,抓包或通过其他方式尝试篡改手机号进行测试如图 所示。
以某网站办理挂失业务为例。
步骤一: 以尾号0136手机登录,然后选择挂失业务,如图 所示。
步骤二:抓包修