测试描述:通过抓包工具分析信息删除场景的接口内容及工作流程,逐条实施案例验证是否存在业务逻辑漏洞
测试标签:WEB应用安全测试
业务场景:涉及客户信息修改和金融交易删除的业务场景
测试工具:抓包工具
测试用例:
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)有关username、cardid、phone等用户身份标识字段。
用例一:通过抓包工具的代理模块拦截报文,篡改用户身份标识字段为同权限受害人的身份标识,验证查询/删除的信息归属。
测试预期:如可查询/删除归属受害人的信息,则存在水平越权漏洞。
用例二:通过抓包工具的代理模块拦截报文,篡改用户身份标识字段为高权限受害人的身份标识,验证查询/删除的信息归属。
测试预期:如可查询/删除归属受害人的信息,则存在垂直越权漏洞。
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)有关交易号、流水号、商品编号等业务标识字段。
用例一:通过抓包工具的代理模块拦截报文,篡改业务标识字段为同权限受害人的业务标识,验证能否查询/删除受害人业务信息。
测试预期:如可查询/删除受害人的业务信息,则存在水平越权漏洞。
用例二:通过抓包工具的代理模块拦截报文,篡改业务标识字段为高权限受害人的业务标识,验证能否查询/删除受害人交易信息。
测试预期:如可查询/删除受害人的业务信息,则存在垂直越权漏洞
© 版权声明
THE END
暂无评论内容