前置知识点
1、熟悉常见支付流程
选择商品和数量-选择支付及配送方式-生成订单编号-订单支付选择-完成支付
2、熟悉那些数据篡改
商品编号ID,购买价格,购买数量,支付方式,订单号,支付状态等
3、熟悉那些修改方式
替换支付,重复支付,最小额支付,负数支付,溢出支付,优惠券支付等
安全修复
1、金额以数据库定义为准
2、购买数量限制为正整数
3、优惠券固定使用后删除
4、订单生成后检测对应值
案例演示:damicms--数据篡改-价格+数量+产品
搭建好damicms网站,注册账号登录,来到首页产品展示——大米测试产品
点击购买,抓包
尝试修改——价格
修改为6,也可以修改为0,修改成功
尝试修改——数量
数量修改为0.0001,也可以更改为负数,修改成功
尝试修改产品——产品替换
抓取大米测试产品(6000元)的包,发送到repeater模块
选择购买测试产品(4000元),抓包
抓到包之后,将除了价格以外的其他参数全部替换为大米测试产品的参数
去repeater模块复制替换完成
放包,成功使用4000元的测试产品价格购买到了价值6000元的大米测试产品
版权说明
文章采用: 《署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)》许可协议授权。版权声明:本站资源来自互联网收集,仅供用于学习和交流,请勿用于商业用途。如有侵权、不妥之处,请联系客服并出示版权证明以便删除!
发表评论