小迪安全学习笔记--第34天：web漏洞--逻辑越权之登录脆弱及支付篡改

登录应用功能点安全问题

检测功能点：登录点就是登录的地方

检测：见下面的安全问题

危害：危害就是会直接登录进去

登录点安全问题

1.登录点暴力破解

2.HTTP/HTTPS传输

3.Cookie脆弱点验证

4.session固定点测试

5.验证密文比对安全测试

数据篡改安全问题

原理，检测，危害，修复等
参考: https://www.secpulse.com/archives/67080.html

商品购买流程

选择商品和数量-选择支付及配送方式-生成订单编号-订单支付选择-完成支付

常见篡改参数：

商品编号工D，购买价格，购买数量,支付方式，订单号，支付状态等

常见修改方法

替换支付,重复支付，最小额支付，负数支付，溢出支付，优惠券支付等

安全的购买价格应该是存储在数据库中的，以数据库中的数据为准，而不是按照修改的数据来

演示案例:

HTTP/HTTPS协议密文抓取：http一般是明文的，https是加密的，所以爆破的时候要加密

后台登录帐号密码爆破测试

Cookie脆弱点验证修改测试：cookie可能是明文或者是简单的明文加密
某商场系统商品支付逻辑测试-数量,订单：

某建站系统商品支付逻辑测试-价格,商品

字典推荐：

https://github.com/huyuanzhi2/password_brute_dictionary