网上商城购买支付安全测试
by:授客 QQ:1033553122
测试思路:
测试前,查看了关于支付宝接口的相关资料,包括一些处理流程,大概了解下,觉得关于支付的测试主要在数据提交、请求这块。于是便想能否通过获取相关请求,自己模拟浏览器手动提交。百度下,找来Burp Suite这款工具。
工具下载地址:http://pan.baidu.com/s/1geqK7LL
本想着拦截相关数据请求,修改产品价格后再手动提交的,但是从获取到的数据来看,没看到相关痕迹呀,最后看到产品相关信息(id,购买价格,规格等),于是想着能否通过改产品id,间接改变价格呢?(价格不变,更换与产品不等价产品),于是试了下,发现还真行~~
总体来说,测试是一种思想~~要保持思维的发散性~~
关于安全测试,笔者也不太懂,下面是实际工作中的一个例子,分享出来,也算是抛砖引玉吧……
测试实践:
第1步、 设置代理监听
简单设置如下,Burp Suite v1.6.09版本中默认就配置好了
第2步、 设置浏览器代理
火狐为例
注意:这里的配置信息要和第一步中的监听设置保持一致
第3步、 查看初始界面
第4步、 浏览器中打开要购买的产品(产品1)页面
点击【intercept is off】按钮,点击上述页面中的【立即购买】,捕获产品购买相关信息
第5步、
同第4步操作,获取实际不想购买的产品(产品2)的相关信息
第6步、 重复第5步骤(如果未执行第5步的话),修改产品2的产品ID为产品1的ID
第7步、 点击【intercept is on】按钮,查看浏览器访问情况
点击按钮后,浏览器自动跳转到以下界面
从上图可看到,我们通过产品2(学派)来购买产品1(电磁笔),并且间接修改了产品1的价格(原价199,现价1元)
标签:10,oss,网上商城,安全,购买,测试,com 来源: https://blog.51cto.com/shouke/2871436
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。