测试描述:通过抓包工具分析信息查询场景的接口内容及工作流程,逐条实施案例验证是否存在业务逻辑漏洞
测试标签:WEB应用安全测试
业务场景:信息查询场景(包括但不限于客户信息查询和金融交易信息查询)
测试工具:抓包工具
测试用例:
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)有关用户名、卡号、手机号等用户身份标识字段。
用例一:通过抓包工具的代理模块拦截报文,篡改用户身份标识字段为同权限受害人的身份标识,验证能否查询受害人交易信息。
测试预期:如可查询查询受害人的信息,则存在水平越权漏洞。
用例二:通过抓包工具的代理模块拦截报文,篡改用户身份标识字段为高权限受害人的身份标识,验证能否查询受害人交易信息。
测试预期:如可查询查询受害人的信息,则存在垂直越权漏洞。
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)有关交易号、流水号、商品编号等业务标识字段。
用例一:通过抓包工具的代理模块拦截报文,篡改业务标识字段为同权限受害人的业务标识,验证能否查询受害人业务信息。
测试预期:如可查询受害人的业务信息,则存在水平越权漏洞。
用例二:通过抓包工具的代理模块拦截报文,篡改业务标识字段为高权限受害人的业务标识,验证能否查询受害人交易信息。
测试预期:如可查询受害人的业务信息,则存在垂直越权漏洞。
© 版权声明
THE END
暂无评论内容