必测的支付漏洞(一)——使用fiddler篡改支付金额
互联网产品中常会遇到支付功能,测试人员测试这部分功能时一定要重视,因为如果这部分出现了较严重的bug,将会给公司带来不小的经济损失!如果你测出了问题领导也一定会高兴的!因此测试优先级很高,但具有一定难度,刚接触测试的小白们可能不知道支付功能有哪些测试点,作为同为小白的我,就与大家分享一下我学习并致用于工作中的成果吧!
今天这篇介绍一下支付功能的测试点之一——篡改支付金额。设想,购买一样商品,在提交订单后、跳转到支付界面前,篡改了支付金额或数量,如把2000元商品修改为0.1元,若是实体商品可能还有追回损失的机会,若是虚拟产品如游戏币,那可能就追不回来了!我使用的是抓包工具fiddler4修改支付金额的,fiddler能把网页拦截,修改服务器返回参数,并把修改后的数据包发送给服务器。下面我以测试web app电子书支付为例,介绍一下具体的操作流程!
一、拦截订单网页
1)在下方命令行输入命令:bpu +网址域名
2)web app端点击提交订单,出现图中红色标识,网页已拦截
二、修改订单价格
1)选中拦截的链接,右侧菜单选择Inspectors—WebForms
2)修改参数totalPrice,这里的8.8是电子书价格,此处修改为0.02
3)点击Run to Completion,发送修改后参数
三、跳转到付款页面
点击继续支付,跳转到支付宝界面,如图,已修改为0.02元,成功篡改支付金额!因此,发现了一个重大Bug,可以提交给开发了!
总结:
由此可见,将发送包中的金额修改,是一个十分危险的操作,从经济利益角度来讲,中间的差价会为公司带来巨大的损失!
修改方案即开发不要在数据包中假如价格和数量等敏感值。
必测的支付漏洞(一)——使用fiddler篡改支付金额相关推荐
- 支付必测--使用fiddler篡改支付金额
Fiddler拦截http请求修改数据 1.拦截http请求 使用Fiddler进行HTTP断点调试是fiddler一强大和实用的工具之一.通过设置断点,Fiddler可以做到: ①修改HTTP请求头 ...
- [6] 支付漏洞( 0 元购 )
<目录> 原理:支付 ...
- 逻辑漏洞——支付漏洞的原理与防御
目录 1.支付漏洞 1.1 案例一 支付三步曲﹣ 订购.订单.付款 1.2 重放数据 1.3 修改商品数量<
- 关于支付漏洞方式的测试
一.修改支付价格 修改支付价格是支付漏洞常见的挖掘思路,在支付流程中,可以修改支付价格的步骤有很多,包括订购.确认信息.付款等等.在所有设计到价格的步骤中都可以尝试修改,如果网站在某一环节存在逻辑上的 ...
- 常见支付漏洞挖掘思路
今天继续给大家介绍渗透测试相关知识,本文主要内容是常见支付漏洞挖掘思路. 免责声明: 本文所介绍的内容仅做学习交流使用,严禁利用文中技术进行非法行为,否则造成一切严重后果自负! 再次强调:严禁对未授权 ...
- 支付漏洞简介及靶场演示
文章目录 一.快捷支付原理 (一)浏览器跳转 (二)服务器端异步通知 二.常见支付漏洞 (一)修改支付价格 (二)修改支付状态 (三)修改订单数量 (四)修改附属值 (五)修改运费支付漏洞 (六)越权 ...
- 必测的支付漏洞(二)支付流程中“幂等性”
看到这个标题,你们一定一脸懵逼吧哈哈哈~最近拜读了一篇很棒的文章,学习到了计算机中的一种思想--幂等性.然后联想到了之前测支付漏洞时的一个测试点,今天用本文跟大家分享一下幂等性这种思想吧~ 幂等性其实 ...
- 必测的支付漏洞(三)服务器未返回支付结果前进行干预
之前的文章分享了一些我在测试支付过程的经验,今天这篇文章再分享一个测试点~ 首先,回顾一下支付的流程如下: 1.提交订单.选好商品.数量后,点击"提交订单"按钮,跳转到选择支付方式 ...
- fiddler修改支付金额_支付漏洞总结
请注意,本文编写于 113 天前,最后修改于 104 天前,其中某些信息可能已经过时. 快捷支付原理 商户网站接入支付结果有两种方式,一种是通过浏览器进行跳转通知,一种是服务器端异步通知 浏览器跳转 ...
最新文章
- 35+ Top Apache Tomcat Interview Questions And Answers【转】
- 开源团队协作 TMS 2.4.0 版本发布
- 宝塔面板网站一打开cpu百分百_BT宝塔面板打开这个功能网站快到起飞,降低宝塔面板内存和CPU使用率,降低运行负载...
- 30分钟学玩转RabbitMQ
- sugarnms网管软件实用吗?
- python内建函数(不完全)
- WebService与RestAPI 、SoapAPI
- python结构_科学网—Python与结构分析(1)---反应谱 - 潘超的博文
- 北理慕课——Python文件和数据格式化
- 解除开启全局 UWP应用网络隔离限制
- 去除win10桌面图标快捷方式小箭头
- Win10卸载office出现安装包语言不受系统支持
- FISCO-BCOS 及 WeBase 问题记录
- 程序员接私活的10个平台和一些建议,别掉坑里去了
- gpu驱动程序_如何从错误的GPU驱动程序更新中恢复
- 月薪超1.6万美元!对冲基金实习生也内卷
- springboot整合minio上传文件
- Python学习指南:介绍
- python 利用cartopy绘制世界地图中部分地区的风场的流线形式
- 用Python3爬取知乎上好看的壁纸