业务逻辑漏洞个人经验集锦【不定时更新~】

一、保险类业务:       

  1、如:某公司推出某短期旅游险,有效期只有1天,前端一般改不了时间(改的了那是功能bug了),所以需要抓包绕过js限制

  业务逻辑漏洞个人经验集锦【不定时更新~】_第1张图片

  测试点1:生效日期能否改为当前时间之前。(假设你买的是车祸险,昨天出了车祸,今天买保险,把时间改成前天或昨天,那不就保险生效了……)

 

  测试点2:结束时间能否延长,即大于1天。

 

  2、某保险投保时的保额(不是支付金额是要赔偿的金额),所以跟支付金额有点区别,只要最后生成订单的赔偿金额可以任意修改,那肯定是问题了;

   业务逻辑漏洞个人经验集锦【不定时更新~】_第2张图片

  测试点:保额/赔偿费 金额修改

 

二、预约抢票类

  测试点1:并发抢票是否可突破一人限N张票的限制。

    方法:(见我另一篇《逻辑漏洞之并发测试》)

 

  测试点2:是否可以用同一个验证码抢所有票种(即:验证码非一次性)。

    方法:先正常流程输入验证码抢票,保存该数据包,更改票种的ID号,仍用刚刚的验证码,提交查看是否成功抢票。

 

三、签到领卷类

  由于签到,领券等这类业务,一般只能一天操作一次,操作会有所限制,则测试时需注意并发发包是否可突破限制。

  测试点:并发测试是否可突破次数限制。

 

 

 

 

如有错误,请及时指正,谢谢!

转载于:https://www.cnblogs.com/4wheel/p/9007961.html

你可能感兴趣的:(业务逻辑漏洞个人经验集锦【不定时更新~】)