业务流程绕过测试-业务安全测试实操(18)

最新推荐文章于 2025-07-18 10:25:12 发布
最新推荐文章于 2025-07-18 10:25:12 发布
阅读量509 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 渗透测试 数字安全 文章标签: 业务安全测试 安全性测试 业务测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luozhonghua2014/article/details/131321832
本文详细介绍了业务流程绕过测试和业务上限测试的实际操作,旨在检验业务安全性和防止攻击者利用技术手段绕过关键步骤。通过案例展示了如何测试注册流程中的验证码验证、充值过程中的支付环节,以及查询服务对时间范围的限制,提出加密敏感信息、服务器端二次比对和加强数据校验等修复建议。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

业务流程绕过测试,业务上限测试

业务流程绕过测试
测试原理和方法

该项测试主要针对业务流程的处理流程是否正常,确保攻击者无法通过技术手段绕过某些重要流程步骤,检验办理业务过程中是否有控制机制来保证其遵循正常流程。例如业务流程分为三步:第一步,注册并发送验证码:第二步,输入验证码;第三步,注册成功。在第三步进行抓包分析,将邮箱或手机号替换为其他人的,如果成功注册,就跳过了第一步和第二步,绕过了正常的业务流程。

测试过程

攻击者访问注册页面,注册测试账户,充值提交并抓取数据包,填写任意充值金额并抓包,获取订单号,利用订单号构造充值链接并访问链接,查看是否充值成功,如果充值
成功说明存在业务流程绕过问题,如图所示。以某社交网站为例,经过测试发现订单生成后流程走至链接htp: //www.xxx.com/index,php? controller=site&action=payok&out trade no=,只要提供对应的充值订单号就可以绕过支付环节,未经支付直接充值成功。

 

步骤一:新注册一个账号进行测试,如图 所示.

了解本专栏 订阅专栏 解锁全文
密码找回流程绕过测试-业务安全测试(20)
AI
06-25 311
用户修改密码需要向服务器发送修改密码请求,服务器通过后再修改数据库中相应的密码,所以在测试中我们首先要收集三个步骤的请求接口,重点是收集到最后一步重置密码的接口,这样我们可以直接跳过凭证校验的接口去尝试直接重置密码。在下面的密码找回案例中,需要用户填写要找回的账号然后验证身份,之后才可以进入设置新密码的页面,我们需要对这个流程所有请求的接口做分析,找出最后一步重置密码的接口,接着使用URL测试是否可以跳过验证身份环节。经过测试以后发现不需要验证身份可以直接进入重置密码页面,如图 所示,
前端JS限制绕过测试-业务安全测试(17)
AI
06-20 422
前端JS限制绕过测试,请求重放测试
WEB安全新玩法 [9] 重置密码之验证流程防绕过
天存信息
10-23 853
一般来说,业务流程中出现多个作环节时,是需要顺序完成的。程序设计者往往按照正常用户的作顺序现功能,而忽略了攻击者能够绕过中途环节,直接在后续环节上进行非法作。iFlow 业务安全加固平台能够在不修改网站程序的情况下,强制流程的顺序执行。 某网站系统在用户重置密码时,需进行算术题人机识别验证,再进入邮箱验证码验证环节,通过后才能真正地重置密码。由于程序设计不当,攻击者可以输入任意受害者账号,并正常完成算术题验证后,直接绕过邮箱验证码验证过程,进入到重置受害者密码的环节。我们接下来会看到如何利用 iF
业务流程绕过测试
酷狗直播-锦凡歆的博客
05-27 681
业务流程绕过测试 该项测试主要针对业务流程的处理流程是否正常,确保攻击者无法通过技术手段绕过 某些重要流程步骤,检验办理业务过程中是否有控制机制来保证其遵循正常流程。例如业 务流程分为三步:第一步,注册并发送验证码;第二步,输入验证码;第三步,注册成 功。在第三步进行抓包分析,将邮箱或手机号替换为其他人的,如果成功注册,就跳过了 第一步和第二步,绕过了正常的业务流程。 作者: 锦...
业务逻辑漏洞探索之绕过验证
xiaoi123的博客
11-30 859
业务逻辑漏洞探索之绕过验证 本文中提供的例子均来自网络已公开测试的例子,仅供参考。 本期带来绕过验证漏洞。为了保障业务系统的安全,几乎每个系统都会存在各种各样的验证功能。常见的几种验证功能就包括账号密码验证、验证码验证、JavaScript数据验证及服务端数据验证等等,但程序员在涉及验证方法时可能存在缺陷导致被绕过,于是斗哥总结了以下几种绕过验证的姿势和大家一起讨论讨论~   客户端校验绕...
验证码绕过测试
酷狗直播-锦凡歆的博客
05-23 774
验证码绕过测试 作者: 锦凡歆在酷狗直播唱歌最好听 修复建议 针对此漏洞,建议在服务端增加验证码的认证机制,对客户端提交的验证码进行二次 校验。 ...
安全测试之验证码绕过
hello3041的博客
10-29 2169
安全测试入门 #验证码绕过: 1、无限次使用 2、删除图片验证码 3、注意验证码是否相应在返回包里 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 验证码绕过: 1、无限次使用 2、删除图片验证码 3、注意验证码是否相应在返回包里 我们对Markdown编辑器进行了一些功...
订单ID篡改测试-业务安全测试(5)
AI
06-13 549
订单ID篡改测试,登录失败信息测试过程和说明
【WEB应用安全测试指南–蓝队安全测试2】--超详细-可直接进行战!!!亲测-可进行安全及渗透测试
Dreams°的博客
10-10 3018
任意文件下载漏洞不同于网站目录浏览,此漏洞不仅仅可遍历系统下 web中的文件,而且可以浏览或者下载到系统中的文件,攻击人员通过任意文件下载漏洞可以获取系统文件及服务器的配置文件等等。一般来说,他们利用服务器 API、文件标准权限进行攻击。严格来说,任意文件下载漏洞并不是一种 web漏洞,而是网站设计人员的设计“漏洞”
基于Burpsuite的安全测试十四:业务流程乱序测试
chang_jinling的专栏
06-21 556
基于Burpsuite的安全测试十三:业务流程乱序测试 情景1:业务流程绕过测试业务流程为,第一步输入手机号并发送验证码,第二步为输入验证码,第三步为注册成功。在第三步抓包,将手机号替换为其他人的,如果注册成功则跳过了第一步和第二步,绕过了正常的业务流程。 还有如某订单生成后流程走到的链接中,只需要提供对应的充值订单号就可以绕过支付环节,未经支付直接充值成功。 系统修复方案: 对敏感信...
逻辑漏洞总结
qq_45244158的博客
06-28 9337
逻辑漏洞:又称业务逻辑漏洞,是指由于程序逻辑不严谨或者 逻辑太复杂,导致一些逻辑分支不能正常处理或 者处理错误。通俗的讲,一个系统功能太多后,程序开发人员难以顾及到方方面面,对于某些地方的处理可能有遗漏, 从而导致逻辑漏洞。 逻辑漏洞的出现:通常出现在任意密码修改(没有旧密码验证)、越权访问、密码找回、交易支付金额等。普遍存在性: 由于功能的现需要大量的逻辑作,同时受制于程序员的背景,这类缺陷普遍存在于各类应用程序中。 不固定型: 或者称作“十分有针对性”,因为每一种逻辑缺陷似乎都是唯一的,它是基于逻辑
常见的业务逻辑漏洞
qq_73611706的博客
11-30 1114
现代威胁建模从潜在的攻击者的角度来看待系统,而不是防御者的观点。水平越权通常发生在对数据的增删改查等作中,当一个请求中包含了请求对象标识,可以尝试将该对象标识该为其他请求对象的标识,如果能够成功访问, 可以认为存在水平越权漏洞,以下列举了常见可能发生水平越权漏洞的场景和测试方法。2、在用户成功登陆后给用户分配一个简单的用户ID(与用户名相同、较短的纯数字、或由字母+递增的纯数字),后续所有的表单都会包含一个值为用户ID的隐藏字段随所有的请求一起提交,权限控制都基于用户ID来判断用户身份。
渗透测试业务逻辑之流程乱序测试
发哥微课堂
08-08 1165
0x00:前言 上周做渗透,有一个 sql 注入,负责安全审核的人给开发说你们的程序既然还有 sql 注入,我一年也看不见几个。这句话让我又再次深刻的认识到,渗透测试常规的一些注入跨站漏洞不如以前那么盛了,有点经验的开发写东西都会去考虑到了,再加上修复方法也在逐渐的完善,逻辑类的东西也应该并重的去测。 0x01:分类 我把逻辑类的问题大概总结了一下,大概可以分为十个模块,分别是登录认证模块测...
Maven高级11:跳过测试的三种手段;(maven在package或者install等的时候,跳过test不去执行测试用例)(PS:本篇博客中的【使用配置跳过测试】并没有测成功)
小枯林的博客
06-15 7071
目录一:跳过测试,简介;(测试很重要,为什么有时我们要跳过呐; )二:跳过测试,演示;(全部跳过)1.跳过测试,方式一:使用IDEA提供的快捷键【Toggle 'Skip Tests'Mode】,去跳过测试;2.跳过测试,方式二:创建一个goal,在这个goal中,跳过测试;3.跳过测试,方式三:使用配置跳过测试;(PS:这个,可能因为自己的原因,并没有测OK)三:跳过测试,演示;(部分跳过)......
密码找回流程绕过测试
酷狗直播-锦凡歆的博客
05-28 783
密码找回流程绕过测试 很多网站的密码找回功能一般有以下几个步骤。 (1)用户输入找回密码的账号; (2)校验凭证:向用户发送短信验证码或者找回密码链接,用户回填验证码或单击链接进入密码重置页面,以此方式证明当前作用户是账号主人; (3)校验成功进入重置密码页面。 在找回密码逻辑中,第二步校验凭证最为重要。不是账号主人是无法收到校验凭证 的,试想有没有办法可以绕过第二步凭证校验,直接进入第...
25.flowable 流程中的自动跳过
热门推荐
liuwenjun05101的博客
12-20 1万+
项目地址:https://gitee.com/lwj/flowable.git 分支flowable-base 背景:在际场景中,我们往往会有这样的需求,当流程到达某一个节点的时候,我们让其自动的跳过去,不做任何作。 如: 1、当当前任务审批的人是空或者空串的时候,如果你不设置跳过,这个任务就会出现无法认领的状态。 2、第一个节点是提交人,本来就是他提交的流程,这个节点我们就没有必要让他还审批...
授权测试专题之——绕过授权模式测试
aovenus的专栏-测试新时代(微信公众号:测试新时代)
07-04 2650
授权测试专题之——绕过授权模式测试 对于是否能够绕过系统授权认证,通常需要从以下几个方面进行评估测试: l  当用户没有通过验证时,是否有可能访问该资源?l  是否有可能在注销后访问该资源?l  是否有可能获得只应由拥有不同角色/特权的用户才能访问的功能和资源?l  尝试作为管理员用户访问应用程序并追踪所有的管理职能。如果测试者用普通用户身份登录是否有可能访问这些管理职能?l  因拥有
xss检测和绕过方法
ylcangel的专栏
03-03 7263
xss 测试步骤: 1、输入一个几乎不出现的字符串在应用程序中,以其作为每个页面的每一个参数,且每次只针对一个参数, 监控程序响应,看是否出现同样字符串,然后替换字符串为脚本,在进行测试。 2、进行避开过滤测试。 3、post发现xss,要用burp的get同样继续测试. 4、对http消息头进行测试例(如输入myxsstest),进行这些测试时必须对任何特殊字符如&,=+;和空格...
信息安全性测试:渗透测试、漏洞扫描与代码审计全解析
最新发布
iotintop2的博客
07-18 436
信息安全性测试是依据国家标准、行业标准、地方标准或相关技术规范,依照规范流程对信息系统的安全保障能力开展科学公正的综合测试评估,旨在分析系统当前安全运行状况、排查潜在安全问题,并提供针对性安全改进建议,从而最大限度降低系统安全风险。
e-ac3编码5.1环绕声道测试视频解析
标题和描述中所涉及的知识点主要包括了e-ac3编码技术、5.1声道系统,以及环绕声音效测试。以下是根据这些内容生成的详细知识点: 1. 杜比e-ac3编码技术: e-ac3,也被称为Dolby Digital Plus,是杜比验室开发的一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

luozhonghua2000

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值