必测的支付漏洞(一)使用fiddler篡改支付金额

支付功能测试
最新推荐文章于 2025-10-27 14:47:27 发布
原创 最新推荐文章于 2025-10-27 14:47:27 发布 · 7.7w 阅读 · 243 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#篡改金额 #fiddler #支付 #漏洞 #web安全

本文介绍了一种支付功能测试方法,通过篡改支付金额来检测潜在的安全漏洞。利用抓包工具fiddler4,测试人员可以在支付过程中修改商品价格,验证系统的安全性。
部署运行你感兴趣的模型镜像

        互联网产品中常会遇到支付功能,测试人员测试这部分功能时一定要重视,因为如果这部分出现了较严重的bug,将会给公司带来不小的经济损失!如果你测出了问题领导也一定会高兴的!因此测试优先级很高,但具有一定难度,刚接触测试的小白们可能不知道支付功能有哪些测试点,作为同为小白的我,就与大家分享一下我学习并致用于工作中的成果吧!

        今天这篇介绍一下支付功能的测试点之一——篡改支付金额。设想,购买一样商品,在提交订单后、跳转到支付界面前,篡改了支付金额或数量,如把2000元商品修改为0.1元,若是实体商品可能还有追回损失的机会,若是虚拟产品如游戏币,那可能就追不回来了!我使用的是抓包工具fiddler4修改支付金额的,fiddler能把网页拦截,修改服务器返回参数,并把修改后的数据包发送给服务器。下面我以测试web app电子书支付为例,介绍一下具体的操作流程!

一、拦截订单网页


1)在下方命令行输入命令:bpu +网址域名

2)web app端点击提交订单,出现图中红色标识,网页已拦截

您可能感兴趣的与本文相关的镜像

TensorFlow-v2.9

TensorFlow-v2.9

TensorFlow

TensorFlow 是由Google Brain 团队开发的开源机器学习框架,广泛应用于深度学习研究和生产环境。 它提供了一个灵活的平台,用于构建和训练各种机器学习模型

最低0.47元/天 解锁文章
fiddler支付金额_支付漏洞总结
weixin_39828783的博客
11-28 7013
请注意,本文编写于 113 天前,最后修于 104 天前,其中某些信息可能已经过时。快捷支付原理商户网站接入支付结果有两种方式,种是通过浏览器进行跳转通知,种是服务器端异步通知浏览器跳转基于用户访问的浏览器,如果用户在银行页面支付成功后,直接关闭了页面,并未等待银行跳转到支付结果页面,那么商户网站就收不到支付结果的通知,导致支付结果难以处理。而且浏览器端数据很容易被篡改而降低安全性...
支付--使用fiddler篡改支付金额
weixin_38170137的博客
08-09 4401
Fiddler拦截http请求修数据 1、拦截http请求 使用Fiddler进行HTTP断点调试是fiddler强大和实用的工具之。通过设置断点,Fiddler可以做到: ①修HTTP请求头信息。例如修请求头的UA,Cookie,Referer信息,通过“伪造”相应信息达到相应的目的(调试,模拟用户真实请求等)。 ②构造请求数据,突破表单的限制,随意提交...
fiddler抓包修金额教程+工具
02-23
资料包含视频+文档+工具,主要目的使用fiddler抓包工具实现购物商品的价格进行幕来进行支付
fiddler中进行断点篡改数据
最新发布
qq_40849929的博客
10-27 573
在"Web Sessions"列表中找到被拦截的请求(标记为红色),双击打开"Inspectors"标签页。打开Fiddler后,顶部菜单栏找到"Rules"选项,选择"Automatic Breakpoints",根据需要选择断点模式。当选择"After Responses"断点模式时,服务器返回的响应会被拦截。在"Inspectors"标签页的。修完成后,点击"Run to Completion"按钮(绿色箭头)继续发送请求。通过"Rules" > "Customize Rules"打开脚本文件(
(银泰喵街、淘宝系、支付宝系app) Android Mtop网关接入fiddler/burp/charles抓包研究
YT010
09-18 7186
本文分析的是银泰喵街的抓包。 拿到android app抓包,出现http包不走fiddler等代理的情况,通过jadx查看该app使用了mtop sdk, mtopAndroid SDK接入手册网址https://help.aliyun.com/document_detail/69785.html,查看手册对应的hook位置在SwitchConfig.getInstance().setGl...
(34.2)【支付漏洞专题】漏洞原理、产生、环境、篡改数据过程、漏洞利用……
04-13 4067
【专题】支付漏洞从0到1
挖洞技巧:支付漏洞之总结
weixin_44522540的博客
04-02 901
文章目录前言0x01 修支付价格0x02 修支付状态0x03 修购买数量0x04 修附属值0x05 修支付接口0x06 多重替换支付0x07 重复支付0x08 最小额支付0x09 值为最大值支付问题0x10 越权支付0x11 无限制试用0x12 修优惠价 前言 支付漏洞直以来就是高风险,对企业来说危害很大,对用户来说同样危害也大。就比如我用他人账户进行消费,这也属于支付漏洞中的越权问题。那么支付漏洞般存在在哪些方面呢,根据名字就知道,凡是涉及购买、资金等方面的功能处就
商品支付金额篡改
酷狗直播-锦凡歆的博客
05-27 1918
商品支付金额篡改试 电商类网站在业务流程整个环节,需要对业务数据的完整性和致性进行保护,特别 是确保在用户客户端与服务、业务系统接口之间的数据传输的致性,通常在订购类交易 流程中,容易出现服务器端未对用户提交的业务数据进行强制校验,过度信赖客户端提交 的业务数据而导致的商品金额篡改漏洞。商品金额篡改试,通过抓包修业务流程中的 交易金额等字段,例如在支付页面抓取请求中商品的金额字段...
fiddler篡改支付金额
08-11
- *1* *3* [支付漏洞)——使用fiddler篡改支付金额](https://blog.youkuaiyun.com/weixin_30564901/article/details/94955508)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm...
支付逻辑漏洞思路小集合.pdf
04-08
某些系统在处理金额时采用四舍五入的方式,如果算法设计不合理,可能导致支付金额出现偏差,从而被攻击者利用。 #### 十、首单优惠,无限重购 首单优惠是许多电商平台常见的促销手段,但如果缺乏有效的限制机制,...
面试题:支付功能怎么试?如何回答?
qishuzdh的博客
09-15 2133
九月了,有很多的小伙伴已经全面武装好准备找工作了,九月和十月是黄金期——俗称”金九银十“。那么,作为试,不管是面试还是笔试,然要被考验到的就是”试思维“。在面试中就是体现在如下面试题中: “说说你项目中的xx模块你是如何试的?” “给你个购物车,你要怎么试?” "你说下这个产品的登录功能有哪些试点?" “支付功能怎么试?” ...... 所有的这些问题其实都是在考察你的试思维。我们再回答这类问题的时候有方法可依循的。 那么今天这篇文章,笔者来和大家分析个问题这个问题就是以
完整版 fiddler抓包修金额教程+工具.rar
12-30
好用,挺不错的资源,大家快来下载吧!挺有用的!需要的话可以来下载哦!资料包含视频+文档+工具,主要目的使用fiddler抓包工具实现购物商品的价格进行幕来进行支付
软件试实战案例:支付功能板块如何试?
HUA1211的博客
07-22 985
大体上,可以从支付流程、退款流程、非功能试点及支付试的方法四个方向考虑。
ecshop手机支付支付篡改金额BUG
龚清林的博客
08-12 3114
手机版ECShop点击支付支付的时候跳到这个php文件,链接如下面: wapapli/alipayapi.php?WIDseller_email=[卖家支付宝帐户]&WIDout_trade_no=[商户订单号]&WIDsubject=[商品名/或者订单号]&WIDtotal_fee=668.00 任意修红色数字都可以正常提交,并且正常支付,正常返回成功支付.原因: 当用户点击支付进入 al
使用fiddler支付金额支付
weixin_30311605的博客
08-09 6520
使用fiddler4先把网页拦截,修服务器返回的参数,并把修后的数据包发送给服务器,若该页面价格修成功则是个重大bug。 以下是操作流程: 、拦截订单请求 方法: 1、在下方命令行输入命令:bpu 空格+订单页网址后点击键盘回车按钮(若没有点击回车按钮将拦截不成功); 2、击提交订单,出现图中红色标识,网页已拦截 方法二: 最下方工具栏中点击第三格空白处,单...
fiddler抓包修订单金额
ming1115的博客
08-16 9247
fiddler订单金额
fiddler支付金额_软件试——支付模块试方法及注意事项
weixin_39705069的博客
11-24 1723
支付流程示意图:1、支付正常流程按照需求说明,进行常规支付操作。期望,支付成功,且无任何报错情况。(1)订单支付金额为整数(2)订单支付金额为小数(3)拆分类交易:交易进行拆分,上送拆分明细(4)分别使用wifi和4G进行支付2、支付异常流程1.1 相关配置验证  (1)未开通对应渠道的支付开关  (2)未配置对应渠道的支付参数类  (3)未安装对应渠道APP(支付宝、微信等)  (4)未登陆对应...
订单金额!?0.01 元购买 iPhoneX?| Web谈逻辑漏洞
热门推荐
技术杂谈
12-21 1万+
本文来自作者 肖志华 在 GitChat 上分享 「Web 安全恩仇录:再谈逻辑漏洞」,「阅读原文」查看交流实录。「文末高能」编辑 | 哈比Web 漏洞里有 SQL 注入、XSS 等漏洞,但是逻辑漏洞等问题也是个大的关键点。逻辑漏洞比传统安全漏洞更难发现,也可以理解为在相关的业务流程程序出了个 BUG,当然开发者设计逻辑正常来走是没问题的,旦用户不走寻常路,就导致了些看似莫名其妙的漏洞存在
最详细,Fiddler使用教程 (定位/抓包/篡改数据) 工作中真实应用......
大佬云集技术答疑交流群:743262921(进群暗号:222)
03-26 5890
定位前后端bug当我们操作页面端发现个bug时,对业务充分熟悉且有足够经验的试工程师可以直接判断是否前后端bug;但无经验的不要慌,可通过fiddler抓取request、response数据,分析定位前后端bug。Fiddler怎么配置以及怎么抓取数据,前面有写,这里不再过多叙述。查看请求的http状态码是否正确。例:若抓取到的请求返回的http状态码为404,说明可能是前端JS 提交了错误的地址,也可能是后端服务器没有对应地址的服务;
评论 31
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值