インターフェース呼び出しパラメータ改ざんテスト、インターフェース不正アクセス・呼び出しテスト
インターフェース呼び出しパラメータの改ざんテスト
テストの原理と方法
SMS および電子メール通話のビジネス リンクでは、SMS 確認コードや電子メール確認コードなど。対応するリクエストの携帯電話番号または電子メール アドレスのパラメータ値を変更して送信した後、変更された携帯電話番号または電子メール アドレスがシステムによって送信された情報を受信した場合、インターフェイス データ呼び出しパラメータが改ざんされる可能性があることを意味します。
テストプロセス
図に示すように、攻撃者はアカウント B を所有し、ユーザーはアカウント A を所有します。攻撃者はアカウント A に対してパスワード取得操作を実行し、サーバーはアカウント A のメールボックスまたは携帯電話にパスワード リセット メッセージを送信し、攻撃者は確認コードの確認リンクを入力します。このとき、攻撃者は「確認コードを再送信」をクリックし、再送信メッセージ リクエストを傍受し、リクエスト内の確認コードを受信したユーザーのメール アドレスまたは携帯電話を自分のものに変更します。パスワード リセット メッセージを受信した場合、脆弱性が存在します。
テスト プロセスでは、モバイル アプリ システムを例に挙げます。
ステップ 1: 図に示すように、SMS 認証コード ページで [再送信] をクリックし、同時にデータ パッケージをキャプチャします。
ステップ 2: 図に示すように、param.telno パラメータ (送信側携帯電話番号を指定) を、傍受したデータ内の別の携帯電話番号に変更します。
ステップ 3: 写真に示すように