WEB漏洞-逻辑越权之登录脆弱及支付篡改

HTTP：传输数据时不加密
HTTPS：传输数据时加密
（不绝对）

如果网站是HTTP，可以用爆破测试。
如果网站是HTTPS，不知道网站的加密方式，是不能进行爆破测试的（知道加密方式，可以把你的数据采用同样的加密方式进行爆破）。

如果通过burp爆破时，把铭文加密进行爆破测试
此处选择加密的方式
勾选后，密码就会进行md5加密后，再去访问数据包进行爆破。

Cookie 脆弱点验证

例子：
代码解析：
当用户访时，把cookie中user里面的值赋给变量$user，通过if进行判断，当变量$user里面的值为空时，跳转到登陆页面。（检测用户是否登陆）
漏洞：
用if检测时只检测了cookie中的值是否为空，却没有检测cookie中值的内容

数据篡改安全问题

原理，检测，危害，修复等
参考：https://www.secpulse.com/archives/67080.html

#商品购买流程：
选择商品和数量-选择支付及配送方式-生成订单编号-订单支付选择-完成支付

#常见篡改参数：
商品编号 ID，购买价格，购买数量，支付方式，订单号，支付状态等

#常见修改方法：
替换支付，重复支付，最小额支付，负数支付，溢出支付，优惠券支付等