手机号码篡改测试-业务安全测试实操(6)

手机号码篡改测试, 用户ID篡改测试

订单ID篡改测试-业务安全测试实操(5)_luozhonghua2000的博客-CSDN博客

 

手机号码篡改测试

 测试原理和方法


手机号通常可以代表一个用户身份。当请求中发现有手机号参数时,我们可以试着修改它,测试是否存在越权漏洞。系统登录功能一般先判断用户名和密码是否正确,然后通过Session机制赋予用户令牌。但是在登录后的某些功能点,开发者很容易忽略登录用户的权限问题。所以当我们用 A 的手机号登录后操作某些功能时,抓包或通过其他方式尝试篡改手机号,即可对这类问题进行测试


 测试过程


攻击者登录后,在操作某些功能时,抓包或通过其他方式尝试篡改手机号进行测试如图 所示。

手机号码篡改测试-业务安全测试实操(6)_第1张图片

 

以某网站办理挂失业务为例。
步骤一: 以尾号0136手机登录,然后选择挂失业务,如图 所示。

手机号码篡改测试-业务安全测试实操(6)_第2张图片

 步骤二:抓包修

你可能感兴趣的:(渗透测试,数字安全,数学建模)