商品支付金额篡改测试,商品订购数量篡改测试
商品支付金额篡改测试
测试原理和方法
电商类网站在业务流程整个环节,需要对业务数据的完整性和一致性进行保护,特别是确保在用户客户端与服务、业务系统接口之间的数据传输的一致性,通常在订购类交易流程中,容易出现服务器端未对用户提交的业务数据进行强制校验,过度信赖客户端提交的业务数据而导致的商品金额篡改漏洞。商品金额篡改测试,通过抓包修改业务流程中的交易金额等字段,例如在支付页面抓取请求中商品的金额字段,修改成任意数额的金额并提交,查看能否以修改后的金额数据完成业务流程。
测试过程
该项测试主要针对订单生成的过程中存在商品支付金额校验不完整而产生业务安全风险点,通常导致攻击者用实际支付远低于订单支付的金额订购商品的业务逻辑漏洞,如图 所示。
测试过程以登录http: //wwwxxx.cn/service/electronic/init.action网上营业厅购买充值卡为例。
步骤一: 购卡选择卡面值后进入支付平台页面,如图 所示。
抓包并篡改支付请求中的明文金额字段 elecCardConfirm.money,如图所示。