接口调用参数篡改测试,接口未授权访问/调用测试

接口调用参数篡改测试

测试原理和方法

在短信、邮件调用业务环节中，例如短信验证码、邮件验证码。修改对应请求中手机号或邮箱地址参数值提交后，如果修改后的手机号或邮箱收到系统发送的信息，则表示接口数据调用参数可篡改
 

测试过程

如图所示，攻击者拥有账号B，用户拥有账号A。攻击者对账号A进行密码找回操作，服务器给账号 A 的邮箱或者手机发送密码重置信息，攻击者进入验证码验证环节，此时攻击者单击“重新发送验证码”并拦截重新发送这个请求，将请求中的接收验证码用户的邮箱或者手机修改为自己的。如果接收到密码重置信息，则存在漏洞。

 

测试过程以某手机App系统为例。
步骤一: 如图 所示，在短信验证码页面单击“重新发送”同时抓取数据包。

 步骤二: 如图 所示，在截取数据中将param.telno参数(指定发送手机号码)修改为其他手机号码。

步骤三: 如图 所示