前端JS限制绕过测试,请求重放测试

前端JS限制绕过测试

  测试原理和方法

很多商品在限制用户购买数量时，服务器仅在页面通过JS脚本限制，未在服务器端校验用户提交的数量，通过抓取客户端发送的请求包修改JS端生成处理的交易数据，如将请求中的商品数量改为大于最大数限制的值，查看能否以非正常业务交易数据完成业务流程。

  测试过程

该项测试主要针对电商平台由于交易限制机制不严谨、不完善而导致的一些业务逻辑问题。例如，在促销活动中限制商品购买数量，却未对数量进行前、后端严格校验，往往被攻击者所利用，如图 所示。 

 

测试过程以 http: //www.xxx.com/xxx-100-2856.html 网上商城绕过团购购买数量限制购买团购价商品为例。
步骤一: 购买限购的商品，商品限制购买数量为 2 份，将其加入购物车，如图 所示。

 

步骤二:通过观察发现客户端在前端浏览器使用JavaScript做了购买限制&#x