之前在部落格寫的一篇文章,但是部落格好久沒弄了。網域名稱忘記續費了。也懶的折騰,放在省心點吧,剛仔細看了一下之前寫了,覺得自己寫的好low,等我有空在整理一些案例。
近期做的一些業務安全方面的測試,其實毫無技術含量,就是想總結一下經常測試的點以及遇到的奇葩問題。
1.p2p常見邏輯漏洞(加車、下單、結算、支付等)
2.賬號體系常見邏輯漏洞(註冊、登入、撞庫、密碼重置、驗證碼繞過等),
3.水平垂直越權、
1.使用者名稱列舉+任意使用者登陸
在登陸處抓包,用不同的使用者名稱根據返回長度來確定使用者名稱是否存在。
當我們用administrator賬號去登陸的時候,改一下返回包就可以登陸成功
其實後面我檢視其js**只需要乙個post就可以登陸成功,我們來看看它的js**怎麼寫。在測試的時候需仔細檢視js**,可以發現發現很多隱型介面
2.客戶端驗證碼回顯
安卓端+夜神模擬器+xposed+justtrustmeplus
在註冊處傳送驗證碼:
3.任意使用者註冊+密碼重置(其實也是驗證碼)
在測試中發現,6位驗證碼,在不限制請求次數情況大概需要1個小時才能爆破出來,四位驗證碼你隨意
4.前台驗證碼未失效,導致可以爆破使用者密碼
5.越權漏洞
在從普通使用者檢視超級管理員的資訊,再或者普通使用者遍歷使用者資訊可檢視使用者賬號密碼,二級密碼,賬戶餘額等
6.支付金額修改漏洞
7.xss漏洞
一般測試在活動**,或者在個人資料方面
優化的一些例項
優化使用的工具,使用loadrunner做為壓力測試工具,使用jprobe進行 剖析。1 第乙個例項。原狀況 呼叫乙個api,發現執行的時間很高,用jprobe分析,發現消耗時間最長的是把快取中的乙個樹從第三個節點進行扁平化,就是把第二個節點的子樹構造為乙個列表,不知道為什麼構造這個資料的耗時比直接...
一些jQuery 例項
設定內容 text html 以及 val changehtml click function 新增新的 html 內容 向 html 元素追加內容 在 html 元素之後追加內容。before after html click function jquery 操作 css 改變 html 元素的 ...
oracle imp匯入的一些例項
1 table model 1 backup one user s table exp icdmain icd rows y indexes n compress n buffer 65536 feedback 100000 volsize 0 file exp icdmain table yyyy...