测试描述:通过抓包工具分析信息导出/下载场景的接口内容及工作流程,逐条实施案例验证是否存在业务逻辑漏洞
测试标签:WEB应用安全测试
业务场景:涉及客户信息修改和金融交易信息导出/下载的业务场景
测试工具:抓包工具
测试用例:
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)有关用户名、卡号、手机号等用户身份标识字段。
用例一:通过抓包工具的代理模块拦截报文,篡改用户身份标识字段为同权限受害人的身份标识,验证查询/导出/下载的信息归属。
测试预期:如可查询/导出/下载归属受害人的信息,则存在水平越权漏洞。
用例二:通过抓包工具的代理模块拦截报文,篡改用户身份标识字段为高权限受害人的身份标识,验证查询/导出/下载的信息归属。
测试预期:如可查询/导出/下载归属受害人的信息,则存在垂直越权漏洞。
用例三:通过抓包工具的代理模块抓包,查看有关文件名、文件编号的字段是否为明文,如果是明文,则将其修改为其他平行用户的文件名、文件编号的信息;如果加密,则验证是否为常见弱加密方式(如base64编码、URL编码等),如果是,则解密后再次进行如上操作替换字段。
测试预期:如上替换文件名、文件编号的信息后,可导出/下载其他用户的用户信息文件,则存在任意文件下载漏洞。
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)有关交易号、流水号、商品编号等业务标识字段。
用例一:通过抓包工具的代理模块拦截报文,篡改业务标识字段为同权限受害人的业务标识,验证能否查询/导出/下载受害人业务信息。
测试预期:如可查询/导出/下载受害人的业务信息,则存在水平越权漏洞。
用例二:通过抓包工具的代理模块拦截报文,篡改业务标识字段为高权限受害人的业务标识,验证能否查询/导出/下载受害人交易信息。
测试预期:如可查询/导出/下载受害人的业务信息,则存在垂直越权漏洞。
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)下载路径字段。
用例一:通过抓包工具的代理模块拦截报文,篡改下载路径字段为系统敏感文件路径(如/etc/passwd),验证能否下载目标文件。
测试预期:如可下载目标文件,则存在任意文件下载漏洞
暂无评论内容