测试描述:通过抓包工具分析优惠活动/券/积分获取场景的接口内容及工作流程,逐条实施案例验证是否存在业务逻辑漏洞。
测试标签:WEB应用安全测试
业务场景:涉及优惠活动/券/积分获取场景
测试工具:抓包工具
测试用例:
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)有关地区编号、数量、时间、参与次数等限制字段。
用例一:通过抓包工具的代理模块抓包,修改有关地区编号的字段为其他地区编号,如将010(北京)修改022(天津),验证能否绕过区域限制参与优惠活动/券/积分获取。
测试预期:如可参加其他地区的优惠活动/券/积分获取,则存在工作流逃逸漏洞。
用例二:通过抓包工具的代理模块拦截报文,修改有关获取数量或数量限制字段,验证能否超额领取券/积分。
测试预期:如可超额领取券/积分,则存在工作流逃逸漏洞。
用例三:参与不在有效期内的活动/券/积分获取,通过抓包工具的代理模块拦截报文,修改有关活动时间或当前时间的字段,验证能否参加活动/券/积分获取。
测试预期:如可参加本来不能参加的优惠活动/券/积分获取,则存在工作流逃逸漏洞。
用例四:参与已超出参与次数的活动/券/积分获取,通过抓包工具的代理模块拦截报文,篡改已参加过活动的标志或参与次数字段,验证能否参与活动/券/积分获取。
测试预期:如可成功参加优惠活动/券/积分获取,则存在工作流逃逸漏洞。
测试前置:涉及的业务场景中,获取券/积分的报文。
用例一:通过抓包工具代理模块拦截获取券/积分的报文,利用抓包工具重放模块重复多次发送报文,验证券/积分领取情况。
测试预期:如可突破业务限制多次领取券/积分,则存在重放漏洞。
© 版权声明
THE END
暂无评论内容