测试描述:通过抓包工具分析密码找回场景的接口内容及工作流程,逐条实施案例验证是否存在业务逻辑漏洞。若场景涉及认证要素,则参考对应的认证要素测试方式。
测试标签:WEB应用安全测试
业务场景:密码找回场景
测试工具:抓包工具
测试用例:
测试前置:涉及的业务场景,涉及涉及的业务场景,获取from表单中,input标签为password属性的字段。
用例一:通过抓包工具的代理模块抓包,查看密码字段信息是否为明文,如果加密,则验证是否为常见弱加密方式(如base64编码、URL编码等)。
测试预期:如上送报文中密码字段为明文,则存在密码字段未使用字段级加密漏洞;若上送报文中密码字段为常见弱加密方式,则存在密码字段加密强度不足漏洞。
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)有关username、cardid、phone等用户身份标识字段。
用例一:通过抓包工具的代理模块拦截报文,篡改用户身份标识字段为同权限受害人的身份标识,验证密码修改情况。
测试预期:如可修改受害人密码,则存在水平越权漏洞。
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)控制流程分支的字段。
用例一:通过抓包工具的代理模块截断流程中的上送报文或响应报文,篡改报文中控制流程分支的字段,或直接构造业务最终执行的报文,提交报文并验证业务流程。
测试预期::如可略过业务设置中不允许略过的业务流程或进入与用户权限不相符的业务流程,并最终完成密码找回业务,则存在工作流程逃逸漏洞。
© 版权声明
THE END
暂无评论内容