WEB漏洞-逻辑越权之登录脆弱及支付篡改

WEB漏洞-逻辑越权之登录脆弱及支付篡改_第1张图片
HTTP:传输数据时不加密
HTTPS:传输数据时加密
(不绝对)

如果网站是HTTP,可以用爆破测试。
如果网站是HTTPS,不知道网站的加密方式,是不能进行爆破测试的(知道加密方式,可以把你的数据采用同样的加密方式进行爆破)。

如果通过burp爆破时,把铭文加密进行爆破测试
WEB漏洞-逻辑越权之登录脆弱及支付篡改_第2张图片此处选择加密的方式
WEB漏洞-逻辑越权之登录脆弱及支付篡改_第3张图片勾选后,密码就会进行md5加密后,再去访问数据包进行爆破。

Cookie 脆弱点验证

例子:
WEB漏洞-逻辑越权之登录脆弱及支付篡改_第4张图片代码解析:
当用户访时,把cookie中user里面的值赋给变量$user,通过if进行判断,当变量$user里面的值为空时,跳转到登陆页面。(检测用户是否登陆)
漏洞:
用if检测时只检测了cookie中的值是否为空,却没有检测cookie中值的内容

WEB漏洞-逻辑越权之登录脆弱及支付篡改_第5张图片

数据篡改安全问题

原理,检测,危害,修复等
参考:https://www.secpulse.com/archives/67080.html

#商品购买流程:
选择商品和数量-选择支付及配送方式-生成订单编号-订单支付选择-完成支付

#常见篡改参数:
商品编号 ID,购买价格,购买数量,支付方式,订单号,支付状态等

#常见修改方法:
替换支付,重复支付,最小额支付,负数支付,溢出支付,优惠券支付等

你可能感兴趣的:(渗透笔记2,安全,前端,web安全)