测试描述:通过抓包工具分析优惠活动/券/积分使用场景的接口内容及工作流程,逐条实施案例验证是否存在业务逻辑漏洞。
测试标签:WEB应用安全测试
业务场景:涉及优惠活动/券/积分使用场景
测试工具:抓包工具
测试用例:
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)有关用户名、卡号、手机号等用户身份标识字段。
用例一:通过抓包工具的代理模块拦截报文,篡改用户身份标识字段为同权限受害人的身份标识,验证能否查询或使用他人优惠活动/券/积分。
测试预期:如可查询/使用受害人的优惠活动/券/积分,则存在水平越权漏洞
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)有关活动号、券编号等业务标识字段。
用例一:通过抓包工具的代理模块拦截报文,篡改业务标识字段为不具有业务权限的业务标识,验证能否正常使用活动/券。
测试预期:如可正常使用活动/券,则存在水平越权漏洞。
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)有关有关地区编号、数量、时间、参与次数等使用限制字段。
用例一:通过抓包工具的代理模块抓包,修改有关地区编号的字段为其他地区编号,如将010(北京)修改022(天津),验证能否绕过区域限制使用优惠活动/券/积分。
测试预期:如可绕过地区限制,使用优惠活动/券/积分,则存在工作流逃逸漏洞。
用例二:使用不在有效期内的活动/券/积分,通过抓包工具的代理模块拦截报文,修改有关活动时间或当前时间的字段,验证能否使用活动/券/积分。
测试预期:如可使用超期的优惠活动/券/积分,则存在工作流逃逸漏洞。
用例三:通过抓包工具的代理模块拦截报文,修改有关剩余数量(如优惠券剩余数量,积分剩余数量)或使用数量(如使用的优惠券数量,积分数量,积分抵扣百分比限制等)字段,验证能否超额使用优惠活动/券/积分。
测试预期:如可超额使用优惠活动/券/积分,则存在工作流逃逸漏洞
测试前置:涉及的业务场景,包括但不限于HTTP或https数据包中(header、get、post body等区域)控制流程分支的字段。
用例一:通过抓包工具的代理模块截断流程中的上送报文或响应报文,篡改报文中控制流程分支的字段,或直接构造业务最终执行的报文,提交报文并验证业务流程。
测试预期::如可略过业务设置中不允许略过的业务流程或进入与用户权限不相符的业务流程,并最终优惠活动/券/积分使用,则存在工作流程逃逸漏洞。
暂无评论内容