手机号码篡改测试， 用户ID篡改测试

订单ID篡改测试-业务安全测试实操(5)_luozhonghua2000的博客-CSDN博客

 

手机号码篡改测试

 测试原理和方法

手机号通常可以代表一个用户身份。当请求中发现有手机号参数时，我们可以试着修改它，测试是否存在越权漏洞。系统登录功能一般先判断用户名和密码是否正确，然后通过Session机制赋予用户令牌。但是在登录后的某些功能点，开发者很容易忽略登录用户的权限问题。所以当我们用 A 的手机号登录后操作某些功能时，抓包或通过其他方式尝试篡改手机号，即可对这类问题进行测试

 测试过程

攻击者登录后，在操作某些功能时，抓包或通过其他方式尝试篡改手机号进行测试如图 所示。

 

以某网站办理挂失业务为例。
步骤一: 以尾号0136手机登录，然后选择挂失业务，如图 所示。

 步骤二:抓包修