• 安全测试 网上商城购买支付安全测试


    网上商城购买支付安全测试

    by:授客 QQ1033553122

     

    测试思路:

    测试前,查看了关于支付宝接口的相关资料,包括一些处理流程,大概了解下,觉得关于支付的测试主要在数据提交、请求这块。于是便想能否通过获取相关请求,自己模拟浏览器手动提交。百度下,找来Burp Suite这款工具。

     

    工具下载地址:http://pan.baidu.com/s/1geqK7LL

     

    本想着拦截相关数据请求,修改产品价格后再手动提交的,但是从获取到的数据来看,没看到相关痕迹呀,最后看到产品相关信息(id,购买价格,规格等),于是想着能否通过改产品id,间接改变价格呢?(价格不变,更换与产品不等价产品),于是试了下,发现还真行~~

     

    总体来说,测试是一种思想~~要保持思维的发散性~~

     

    关于安全测试,笔者也不太懂,下面是实际工作中的一个例子,分享出来,也算是抛砖引玉吧……

     

    测试实践:

    第1步、  设置代理监听

    简单设置如下,Burp Suite v1.6.09版本中默认就配置好了



     

    第2步、  设置浏览器代理

    火狐为例

    安全测试 <wbr>网上商城购买支付安全测试

    注意:这里的配置信息要和第一步中的监听设置保持一致

     

    第3步、  查看初始界面

    安全测试 <wbr>网上商城购买支付安全测试

     

    第4步、  浏览器中打开要购买的产品(产品1)页面



     

    点击【intercept is off按钮,点击上述页面中的【立即购买】,捕获产品购买相关信息

    安全测试 <wbr>网上商城购买支付安全测试

     

    第5步、  同第4步操作,获取实际不想购买的产品(产品2)的相关信息

    安全测试 <wbr>网上商城购买支付安全测试

    安全测试 <wbr>网上商城购买支付安全测试

     

    第6步、  重复第5步骤(如果未执行第5步的话),修改产品2的产品ID为产品1ID



     

    第7步、  点击【intercept is on】按钮,查看浏览器访问情况

    点击按钮后,浏览器自动跳转到以下界面

    安全测试 <wbr>网上商城购买支付安全测试

     

    从上图可看到,我们通过产品2(学派)来购买产品1(电磁笔),并且间接修改了产品1的价格(原价199,现价1元)

  • 相关阅读:
    IPv6隧道技术——6to4实验分析
    IPV6地址解析与DAD机制实验分析
    交换机的高级特性
    组播IGMP实验分析
    BGP实验分析(二)
    BGP实验分析(一)
    路由策略实验分析(二)
    路由策略实验分析(一)
    一线互联网拼多多、饿了么、蚂蚁金服、哈啰出行、携程、饿了么、2345、百度等一些Java面试题
    Java中的匿名内部类
  • 原文地址:https://www.cnblogs.com/shouke/p/10157959.html
Copyright © 2020-2023  润新知