Проверка параметров вызова интерфейса, проверка несанкционированного доступа/вызова интерфейса
Тест на фальсификацию параметров вызовов интерфейса
Принципы и методы испытаний
В бизнес-ссылках SMS и звонков по электронной почте, таких как коды подтверждения SMS и коды подтверждения электронной почты. После изменения значения параметра номера мобильного телефона или адреса электронной почты в соответствующем запросе и его отправки, если измененный номер мобильного телефона или адрес электронной почты получает информацию, отправленную системой, это означает, что параметр вызова данных интерфейса может быть изменен.
Процесс тестирования
Как показано на рисунке, злоумышленник владеет учетной записью B, а пользователь — учетной записью A. Злоумышленник выполняет операцию восстановления пароля для учетной записи A, и сервер отправляет сообщение о сбросе пароля на почтовый ящик или мобильный телефон учетной записи A, а злоумышленник вводит ссылку для подтверждения кода подтверждения. В это время злоумышленник нажимает «Повторно отправить код подтверждения» и перехватывает запрос на повторную отправку сообщения, изменяет адрес электронной почты или мобильный телефон пользователя, получившего код подтверждения в запросе, на свой собственный. Уязвимость существует, если получено сообщение о сбросе пароля.
В качестве примера процесса тестирования используется система мобильных приложений.
Шаг 1: Как показано на рисунке, нажмите «Повторно отправить» на странице с кодом подтверждения SMS и одновременно захватите пакет данных.
Шаг 2: Как показано на рисунке, измените параметр param.telno (обозначенный для отправки номера мобильного телефона) на другой номер мобильного телефона в перехваченных данных.
Шаг 3: Как показано на картинке