【漏洞挖掘】——165、业务处理之手机号码篡改测试

已于 2024-10-01 18:48:27 修改
阅读量417 收藏
点赞数 4
CC 4.0 BY-SA版权
分类专栏: 【WEB渗透】 文章标签: 渗透测试 web渗透 信息安全 网络安全 业务逻辑 漏洞挖掘
于 2024-09-14 17:16:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Fly_hps/article/details/142262851
基本介绍

手机号通常可以代表一个用户身份,当请求中发现有手机号参数时我们可以试着修改它测试是否存在越权漏洞,系统登录功能一般先判断用户名和密码是否正确,然后通过Session机制赋予用户令牌,但是在登录后的某些功能点开发者很容易忽略登录用户的权限问题,所以当我们用A的手机号登录后操作某些功能时抓包或通过其他方式尝试篡改手机号,可对这类问题进行测试

测试过程

攻击者登录后在操作某些功能时抓包或通过其他方式尝试篡改手机号进行测试

漏洞示例

通过对App的我的-购买记录-实物订单功能进行测试,App首先通过/iget/check获取用于访问实物订单的JWT会话签名,但是服务端并没有校验sign参数签名的正确性,导致可以直接通过更改请求会话签名中的userId参数,从而获取任意用户的会话签名信息,根据签名去/api/order/gelist路由获取用户的事物订单详情,存在越权漏洞,还可以通过此漏洞获取或者更改删除任意用户地址,发票等功能,订单详情中泄露了用户的收件地址,电话,订单支付方式等隐私信息

使用会话签名成功获取任意用户实物订单详情

了解本专栏 订阅专栏 解锁全文
手机号码篡改测试-业务安全测试实操(6)
AI
06-14 837
手机号码篡改测试,用户ID篡改测试
漏洞挖掘】——164、业务处理之用户ID篡改测试
Fly_鹏程万里
09-14 245
从开发的角度来看用户登录后查看个人信息时需要通过sessionid判定用户身份,然后显示相应用户的个人信息,但有时我们发现在GET或POST请求中有userid这类参数传输,并且后台通过此参数显示对应用户隐私信息,这就导致了攻击者可以通过篡改用户ID越权访问其他用户隐私信息,黑色产业链中的攻击者也喜欢利用此类漏洞非法收集个人信息。
绑定手机号性能测试
Asaasa1的博客
07-22 774
绑定手机号唯一的难点就是如何在单账号绑定的过程中不断切换手机号,而且保证最后账号的绑定手机号还是一开始的 14+uid 的模式。 业务逻辑: traceNo traceNo 基本的校验规则如下: string traceNo 解决方案: 限制条件已经做成可配置,可以随时更改重启服务即可 选中14号段,用户手机号=14+uid 测试环境固定验证码 uid是9开头的,所以单个用户的绑定手机号在 149 和 148 之间切换, 149 为初始状态,这里并没有使用每次换一个新手机号,第一是怕出现偶然重复,第二
WEB攻防之业务安全测试--学习
weixin_53884648的博客
04-10 1076
在浏览器中存在着同源策略,所谓同源是指域名、协议、端口相同。当使用 Ajax 异步 传输数据时,非同源域名之间会存在限制。其中有一种解决方法是 JSONP(JSON with Padding),基本原理是利用了 HTML 里元素标签,远程调用 JSON 文件来 实现数据传递。
25-漏洞挖掘基础
weixin_53857436的博客
10-15 1047
这里可以看到是一个aes加密的,然后这里有key和他的偏移量。这个是校内的一个ctf实训平台,然后里面自己总结了一些做题的方法和思路,答题过程仅供参考,这个flag都是不一样的,大家不要复制我的,复制了也不会成功。我们可以找到一个返回包,这个返回包里很关键的信息,直接分析代码,这里的意思是当账号和密码等于admin就会登录成功,这里因为有一个session会话固定,所以我们把这个id记录下来。然后我们成功的登录进来了,我们这个时候题目要求是挂失老板的手机号,我们先抓包,再挂失的时候改成老板的实际尝试一下。
手机号码篡改测试
Sun_12_2的博客
11-12 240
是一种安全测试手段,旨在检查系统或应用在处理用户手机号码时是否存在安全漏洞。这种测试通常针对那些允许用户输入或修改手机号码的功能点,通过篡改手机号码来尝试访问或操作其他用户的信息,从而揭示潜在的安全风险。在许多系统或应用中,手机号码被用于用户登录、验证身份、接收验证码等关键操作。如果开发者在处理手机号码时没有充分考虑安全性,就可能导致手机号码篡改漏洞。综上所述,手机号码篡改测试漏洞挖掘中的一项重要测试方法,有助于发现并修复手机号码处理过程中的安全漏洞,保障用户信息的安全。
漏洞挖掘】——166、业务处理之邮箱用户篡改测试
Fly_鹏程万里
10-07 198
在发送邮件或站内消息时篡改其中的发件人参数,导致攻击者可以伪造发信人进行钓鱼攻击等操作,这也是一种平行权限绕过漏洞,用户登录成功后拥有发信权限,开发者就信任了客户端传来的发件人参数,导致业务安全问题出现。
漏洞挖掘】——163、业务处理之订单ID篡改测试
Fly_鹏程万里
09-14 235
在有电子交易业务的网站中用户登录后可以下订单购买相应产品,购买成功后用户可以查看订单的详情,当开发人员没有考虑登录后用户间权限隔离的问题时就会导致平行权限绕过漏洞,攻击者只需注册一个普通账户就可以通过篡改、遍历订单id,获得其他用户订单详情,其中多数会包括用户的姓名、身份证、地址、电话号码等敏感隐私信息,黑色产业链中的攻击者通常会利用此漏洞得到这些隐私信息。
漏洞挖掘】——167、业务处理之商品编号的篡改
Fly_鹏程万里
10-07 190
在交易支付类型的业务中最常见的业务漏洞就是修改商品金额,例如在生成商品订 单、跳转支付页面时,修改HTTP请求中的金额参数,可以实现1分买充值卡、1元买特斯拉等操作,此类攻击很难从流量中匹配识别出来,通常只有在事后财务结算时发现大额账务问题才会被发现,此时攻击者可能已经通过该漏洞获得了大量利益,如果金额较 小或财务审核不严,攻击者则可能细水长流,从中获得持续的利益,事后发现此类漏洞 就大大增加了追责的难度和成本。
Xpose实战一:来,让我们任性登录,替换掉它的登录验证
u012763405的博客
12-26 610
                                         来,让我们任性登录,替换掉它的登录验证 每次登录,注册输入账号密码是多么繁琐的事情,烦!就要破解它,如果能把app里面的登录验证函数换成我们的“无敌登录”那是多么吊炸天的事。如果可以“QQ,微信,支付宝(咳咳想多了)”,不过就这样想想是多么激动的事情。 无敌登录的意思是:把人家的验证程序换成“自己的无敌登录...
src案例分享-逻辑漏洞
最新发布
qq_74349936的博客
03-26 397
希望对新手小白有所帮助。
软件测试测试用例
weixin_43894652的博客
02-28 1349
测试用例又叫做test case,是为某个特殊目标而编制的一组测试输入、执行条件以及预期结果,以便测试某个程序路径或核实是否满足某个特定需求。
《软件测试》实验程序
编程洪同学
10-23 2300
大家好,我是中国码农绿茶哥哥。 1 技术栈 1.1 前端 开发工具:WebStorm 框架:Vue 3 Web UI:Element 请求:Axios 路由:Vue Router 1.2 后端 JDK 1.8 开发工具:IDEA 框架: SpringBoot 2.x 1.3 测试 测试工具:Postman 2 项目简介 2.1 项目架构 前后端分离 结构 . ├── software-testing-web // 前端项目 ├── software-testing.
测试用例(功能用例)——登录、首页、个人信息
红目香薰
05-29 4万+
资产管理系统测试用例 测试用例编号 功能点 用例说明 前置条件 输入 执行步骤 预期结果 重要程度 执行用例测试结果 1、登录模块(测试用例个数:20个) ZCGL-ST-SRS001-001 登录功能测试 登录界面正确性验证 登录页面正常显示 无 无 界面显示文字和按钮文字显示正确,按钮齐全,控件整齐 低 通过 ZCGL-ST-SR
接口调用参数篡改测试
酷狗直播-锦凡歆的博客
05-28 788
接口调用参数篡改测试 在短信、邮件调用业务环节中,例如短信验证码、邮件验证码。修改对应请求中手机号或邮箱地址参数值提交后,如果修改后的手机号或邮箱收到系统发送的信息,则表示接口数据调用参数可篡改。 作者: 锦凡歆在‘来疯’直播唱歌最好听 修复建议 (1)会话Session中存储重要的凭证,在忘记密码、重新发送验证码等业务中,从 Session获取用户凭证而不是从客户请求...
WEB业务逻辑漏洞分析
weixin_44311721的博客
04-18 1374
Web业务漏洞分析 1:登录认证模块 1.1 暴力破解测试 测试方法: 针对应用系统用户登录账号与密码进行的穷举测试,针对账号或密码进行逐一比较,直到找出正确的账号和密码。具体有两种情况,①已知账号,结合密码字典对密码进行穷举;②未知账号,加载账号字典,并结合密码字典进行穷举。 修复建议: (1) 增加验证码,登录失败一次,验证码变换一次。 (2) 配置登录失败次数限制策略,如在同一用户尝试登录的...
手机、电话号码、邮箱、域名、身份证号的测试用例
热门推荐
mr_lady的博客
12-21 4万+
测试的时候会遇到一些特殊的填写项,这些输入项不是简单随意的字符组合,有一定的实际意义和实际规则,需要验证其正确性。比如手机号码,一定是“1”开头的纯数字,如果输入2开头的就得给出错误提示。        以下我归纳常用具有实际意义和规则的填写项的测试用例。若有疏漏或错误欢迎补充。 1.手机号码 手机号码:我国使用的手机号码为11位(1999年7月22日从10位全面升级为11位),其中各段有不
修改密码 的测试用例(web
小白裸奔
08-25 2万+
先看图和要求: 要求:英文或英文数字组合,8-20位,区分大小写 针对此修改密码的页面,测试用例(效率高+覆盖全+逻辑明确)如下: 1.冒烟测试,选择正确的输入,可修改成功: (1)新密码为符合要求的非最多和最少的字符(数字+英文),确认密码一致,且旧密码正确 (2)新密码为符合要求的最少字符(数字+英文),确认密码一致,且旧密码正确 (3)新密码为符合要求的最多字
全国各省手机号测试用例
Aldeo
12-26 4502
最近在写一个查询手机号码归属地的服务,需要用到全国各个省的手机号码作验证,本人整理的手机号码如下(后面4位大家随便填写),希望对大家有帮助。 1300002 安徽 1300010 北京 1300099 福建 1300870 甘肃 1300040 广东 1300059 广西 1300780 贵州 1300140 河北 1300500 海南 1...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值