业务办理模块测试-2手机号码篡改测试-存在越权漏洞

手机号码篡改测试测试原理和方法手机号通常可以代表一个用户身份。当请求中发现有手机号参数时,我们可以试着修 改它,测试是否存在越权漏洞。系统登录功能一般先判断用户名和密码是否正确,然后通 过Session机制赋予用户令牌。但是在登录后的某些功能点,开发者很容易忽略登录用户 的权限问题。所以当我们用 A

#安全漏洞   #越权  

业务办理模块测试-1订单Id篡改测试-存在越权漏洞

订单ID篡改测试测试原理和方法在有电子交易业务的网站中,用户登录后可以下订单购买相应产品,购买成功后,用户可以查看订单的详情。当开发人员没有考虑登录后用户间权限隔离的问题时,就会导致平行权限绕过漏洞。攻击者只需注册一个普通账户,就可以通过篡改、遍历订单id,获得其他用户订单详情,其中多数会包括用户的

#安全漏洞   #越权