网上商城购买支付安全测试
by:授客 QQ:1033553122
测试思路:
测试前,查看了关于支付宝接口的相关资料,包括一些处理流程,大概了解下,觉得关于支付的测试主要在数据提交、请求这块。于是便想能否通过获取相关请求,自己模拟浏览器手动提交。百度下,找来Burp Suite这款工具。
工具下载地址:http://pan.baidu.com/s/1geqK7LL
本想着拦截相关数据请求,修改产品价格后再手动提交的,但是从获取到的数据来看,没看到相关痕迹呀,最后看到产品相关信息(id,购买价格,规格等),于是想着能否通过改产品id,间接改变价格呢?(价格不变,更换与产品不等价产品),于是试了下,发现还真行~~
总体来说,测试是一种思想~~要保持思维的发散性~~
关于安全测试,笔者也不太懂,下面是实际工作中的一个例子,分享出来,也算是抛砖引玉吧……
测试实践:
第1步、 设置代理监听
简单设置如下,Burp Suite v1.6.09版本中默认就配置好了
第2步、 设置浏览器代理
火狐为例
注意:这里的配置信息要和第一步中的监听设置保持一致
第3步、 查看初始界面
第4步、 浏览器中打开要购买的产品(产品1)页面
点击【intercept is off】按钮,点击上述页面中的【立即购买】,捕获产品购买相关信息
第5步、
同第4步操作,获取实际不想购买的产品(产品2)的相关信息
第6步、 重复第5步骤(如果未执行第5步的话),修改产品2的产品ID为产品1的ID
第7步、 点击【intercept is on】按钮,查看浏览器访问情况
点击按钮后,浏览器自动跳转到以下界面
从上图可看到,我们通过产品2(学派)来购买产品1(电磁笔),并且间接修改了产品1的价格(原价199,现价1元)