登入應用功能檢測(大型商品網站不存在,小網站可能有)
1、http網站密碼傳輸為明文傳輸(未使用ssl加密);
進行相對於的爆破操作時,也需要對字典進行加密;
2、cookie脆弱性
修改資料包中cookie進行繞過(是否有修改功能點);
資料篡改安全問題
1、商品購買
選擇商品和數量--選擇支付和配送方式--生成訂單編號--訂單支付選擇--完成支付
2、常見修改引數
商品引數ID(修改商品資訊達到低價購買)、購買價格、購買數量(負數)、支付方式、訂單號(修改不同價格的訂單編號)、支付狀態等;
3、常見修改方法
替換支付(更改支付介面)、重複支付、最小額支付、溢位支付、優惠卷支付(更改優惠價格);
原理
資料包中一些關鍵資料的接收標準,安全做法是以資料庫為標準,若以網站中一些可修改接受值標準,則會出現漏洞;