商品编号篡改测试，邮箱和用户篡改测试

手机号码篡改测试-业务安全测试实操(6)_luozhonghua2000的博客-CSDN博客

 邮箱和用户篡改测试

  测试原理和方法

在发送邮件或站内消息时，篡改其中的发件人参数，导致攻击者可以伪造发信人进行钓鱼攻击等操作，这也是一种平行权限绕过漏洞。用户登录成功后拥有发信权限，开发者就信任了客户端传来的发件人参数，导致业务安全问题出现。

  测试过程

攻击者抓包篡改发信请求，可伪造发信人，发送钓鱼信件，如图 所示。 

步骤一: 编写邮件，单击“发送”按钮，如图 所示

步骤二:使用Burp Suite工具将邮件发送数据包中的发件人参数“inputFrom”进行修改并提交发送邮件，如图 所示。