互联网产品中常会遇到支付功能,测试人员测试这部分功能时一定要重视,因为如果这部分出现了较严重的bug,将会给公司带来不小的经济损失!如果你测出了问题领导也一定会高兴的!因此测试优先级很高,但具有一定难度,刚接触测试的小白们可能不知道支付功能有哪些测试点,作为同为小白的我,就与大家分享一下我学习并致用于工作中的成果吧!

今天这篇介绍一下支付功能的测试点之一——篡改支付金额。设想,购买一样商品,在提交订单后、跳转到支付界面前,篡改了支付金额或数量,如把2000元商品修改为0.1元,若是实体商品可能还有追回损失的机会,若是虚拟产品如游戏币,那可能就追不回来了!我使用的是抓包工具fiddler4修改支付金额的,fiddler能把网页拦截,修改服务器返回参数,并把修改后的数据包发送给服务器。下面我以测试web app电子书支付为例,介绍一下具体的操作流程!

一、拦截订单网页

1)在下方命令行输入命令:bpu +网址域名

2)web app端点击提交订单,出现图中红色标识,网页已拦截

二、修改订单价格

1)选中拦截的链接,右侧菜单选择Inspectors—WebForms

2)修改参数totalPrice,这里的8.8是电子书价格,此处修改为0.02

3)点击Run to Completion,发送修改后参数

三、跳转到付款页面

点击继续支付,跳转到支付宝界面,如图,已修改为0.02元,成功篡改支付金额!因此,发现了一个重大Bug,可以提交给开发了!

总结:

由此可见,将发送包中的金额修改,是一个十分危险的操作,从经济利益角度来讲,中间的差价会为公司带来巨大的损失!

修改方案即开发不要在数据包中假如价格和数量等敏感值。

必测的支付漏洞(一)——使用fiddler篡改支付金额相关推荐

  1. 支付必测--使用fiddler篡改支付金额

    Fiddler拦截http请求修改数据 1.拦截http请求 使用Fiddler进行HTTP断点调试是fiddler一强大和实用的工具之一.通过设置断点,Fiddler可以做到: ①修改HTTP请求头 ...

  2. [6] 支付漏洞( 0 元购 )

                                                                                        <目录> 原理:支付 ...

  3. 逻辑漏洞——支付漏洞的原理与防御

    目录 1.支付漏洞 1.1 案例一 支付三步曲﹣ 订购.订单.付款 1.2 重放数据 1.3 修改商品数量<

  4. 关于支付漏洞方式的测试

    一.修改支付价格 修改支付价格是支付漏洞常见的挖掘思路,在支付流程中,可以修改支付价格的步骤有很多,包括订购.确认信息.付款等等.在所有设计到价格的步骤中都可以尝试修改,如果网站在某一环节存在逻辑上的 ...

  5. 常见支付漏洞挖掘思路

    今天继续给大家介绍渗透测试相关知识,本文主要内容是常见支付漏洞挖掘思路. 免责声明: 本文所介绍的内容仅做学习交流使用,严禁利用文中技术进行非法行为,否则造成一切严重后果自负! 再次强调:严禁对未授权 ...

  6. 支付漏洞简介及靶场演示

    文章目录 一.快捷支付原理 (一)浏览器跳转 (二)服务器端异步通知 二.常见支付漏洞 (一)修改支付价格 (二)修改支付状态 (三)修改订单数量 (四)修改附属值 (五)修改运费支付漏洞 (六)越权 ...

  7. 必测的支付漏洞(二)支付流程中“幂等性”

    看到这个标题,你们一定一脸懵逼吧哈哈哈~最近拜读了一篇很棒的文章,学习到了计算机中的一种思想--幂等性.然后联想到了之前测支付漏洞时的一个测试点,今天用本文跟大家分享一下幂等性这种思想吧~ 幂等性其实 ...

  8. 必测的支付漏洞(三)服务器未返回支付结果前进行干预

    之前的文章分享了一些我在测试支付过程的经验,今天这篇文章再分享一个测试点~ 首先,回顾一下支付的流程如下: 1.提交订单.选好商品.数量后,点击"提交订单"按钮,跳转到选择支付方式 ...

  9. fiddler修改支付金额_支付漏洞总结

    请注意,本文编写于 113 天前,最后修改于 104 天前,其中某些信息可能已经过时. 快捷支付原理 商户网站接入支付结果有两种方式,一种是通过浏览器进行跳转通知,一种是服务器端异步通知 浏览器跳转 ...

最新文章

  1. 35+ Top Apache Tomcat Interview Questions And Answers【转】
  2. 开源团队协作 TMS 2.4.0 版本发布
  3. 宝塔面板网站一打开cpu百分百_BT宝塔面板打开这个功能网站快到起飞,降低宝塔面板内存和CPU使用率,降低运行负载...
  4. 30分钟学玩转RabbitMQ
  5. sugarnms网管软件实用吗?
  6. python内建函数(不完全)
  7. WebService与RestAPI 、SoapAPI
  8. python结构_科学网—Python与结构分析(1)---反应谱 - 潘超的博文
  9. 北理慕课——Python文件和数据格式化
  10. 解除开启全局 UWP应用网络隔离限制
  11. 去除win10桌面图标快捷方式小箭头
  12. Win10卸载office出现安装包语言不受系统支持
  13. FISCO-BCOS 及 WeBase 问题记录
  14. 程序员接私活的10个平台和一些建议,别掉坑里去了
  15. gpu驱动程序_如何从错误的GPU驱动程序更新中恢复
  16. 月薪超1.6万美元!对冲基金实习生也内卷
  17. springboot整合minio上传文件
  18. Python学习指南:介绍
  19. python 利用cartopy绘制世界地图中部分地区的风场的流线形式
  20. 用Python3爬取知乎上好看的壁纸

热门文章

  1. AOV网络——初了解
  2. 奢侈品行业数字化也要保持优雅
  3. 星际战甲堕落轰击者结合目标_warframe星际战甲新手必备mod分享
  4. 超级高铁创企HTT晒最新测试轨道图 计划今年4月份开始测试
  5. ChatGPT 镜像网站,无需账号,无地区限制!
  6. 关于ant design table加scroll属性后列跟表头不对齐
  7. android paging的使用
  8. c++ 实现雷霆战机可视化小游戏
  9. GOPS 2021 上海站 《钟炯恩 大数据云原生运维平台实践》
  10. 22年全国程序员1月薪资出炉,年收入 40 万以上的人为何那么多?