测试描述:通过抓包工具分析转账场景的接口内容及工作流程,逐条实施案例验证是否存在业务逻辑漏洞。若场景涉及人脸、证书、短信验证码等认证要素,请参考对应的认证要素测试对应的测试前置逐条进行测试,详见x.x.x章节。
测试标签:WEB应用安全测试
业务场景:涉及转账的业务场景
测试工具:抓包工具
测试用例:
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)有关转账金额等数值型字段。
用例一:通过抓包工具的代理模块拦截报文,篡改数值型字段为任意其他数值(包括合法数值与非法数值)并提交,验证能否以篡改后数值完成支付流程。
测试预期:如可用篡改后的数据完成业务流程支付成功,则存在参数篡改类漏洞。
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)有关cardid、电子账户等转账来源或转账接收字段。
用例一:通过抓包工具的代理模块拦截报文,篡改转账来源卡号、电子账户为受害人信息,验证能否转账成功。
测试预期:如可用受害人的卡号、电子账号转账成功,则存在水平越权漏洞。
用例二:通过抓包工具的代理模块拦截报文,篡改支付接收卡号、电子账户为攻击人信息,验证能否转账接受。
测试预期:如可转账成功,则存在参数篡改漏洞。
测试前置:涉及的业务场景,执行转账的报文。
用例一:通过抓包工具的代理模块获取流程中执行转账的报文,使用抓包工具的重放模块重复发送报文,验证重放报文实现转账成功。
测试预期:如重放报文能完成转账业务,则存在重放漏洞。
用例二:通过抓包工具的代理模块拦截流程中执行转账的报文,使用抓包工具的intruder模块多线程发送报文,验证转账是否成功。
测试预期:如执行多笔转账但只扣款一次,则存在多线程竞争漏洞。
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)控制流程分支的字段。
用例一:通过抓包工具的代理模块截断流程中的上送报文或响应报文,篡改报文中控制流程分支的字段,或直接构造业务最终执行的报文,提交报文并验证业务流程。
测试预期:如可略过业务设置中不允许略过的业务流程或进入与用户权限不相符的业务流程,并最终完成转账业务,则存在工作流程逃逸漏洞。
暂无评论内容