业务逻辑漏洞个人经验集锦【不定时更新~】

一、保险类业务：       

　　1、如：某公司推出某短期旅游险，有效期只有1天，前端一般改不了时间（改的了那是功能bug了），所以需要抓包绕过js限制。

　　

　　测试点1：生效日期能否改为当前时间之前。（假设你买的是车祸险，昨天出了车祸，今天买保险，把时间改成前天或昨天，那不就保险生效了……）

 

　　测试点2：结束时间能否延长，即大于1天。

 

　　2、某保险投保时的保额（不是支付金额是要赔偿的金额），所以跟支付金额有点区别，只要最后生成订单的赔偿金额可以任意修改，那肯定是问题了；

 　　

　　测试点：保额/赔偿费 金额修改

 

二、预约抢票类

　　测试点1：并发抢票是否可突破一人限N张票的限制。

　　　　方法：（见我另一篇《逻辑漏洞之并发测试》）

 

　　测试点2：是否可以用同一个验证码抢所有票种（即：验证码非一次性）。

　　　　方法：先正常流程输入验证码抢票，保存该数据包，更改票种的ID号，仍用刚刚的验证码，提交查看是否成功抢票。

 

三、签到领卷类

　　由于签到，领券等这类业务，一般只能一天操作一次，操作会有所限制，则测试时需注意并发发包是否可突破限制。

　　测试点：并发测试是否可突破次数限制。

 

 

 

 

如有错误，请及时指正，谢谢！

转载于:https://www.cnblogs.com/4wheel/p/9007961.html