WEB漏洞—逻辑越权之登录脆弱及支付篡改

登录应用功能点安全问题

主要点有：
1.登录点暴力破解

• Burpsuite YYDS

2.HTTP/HTTPS传输

• http采用明文传输
  
• https则采用加密传输
  
  区分HTTP和HTTPS的原因：如果没有加密，也就是http协议（也有加密的情况），可以直接爆破，而https协议提交的数据加密了，就不能简单的爆破

3.Cookie脆弱点验证

4.Session固定点测试
5.验证密文比对安全测试

#数据篡改安全问题
原理、检测、危害、修复等
参考：https://www.secpulse.com/archives/67080.html

#商品购买流程：
选择商品数量-选择支付及配送方式-生成订单编号-订单支付选择-完成支付

#常见篡改参数
商品ID编号，购买价格，购买数量，支付方式，订单号，支付状态

#常见修改方式
替换支付，重复支付，最小额支付，负数支付，溢出支付，优惠券支付等