网站漏洞

软件黑盒测试中如何发现优惠卷的BUG

阅读(300)

我在钻石级别那个级别买的一些商品还能不能在那个阶段的时候,那个价会不会还要还有变化,对不对?所以说这就是咱们的一个挺大的一个策略,这也是bug,这也是一个系统当中一个...

什么是优惠卷漏洞? 代码逻辑存在BUG导致的

阅读(147)

我现在买了10万块钱的商品,比如说买了1万1万1万都买了,一共加起来10万块钱的,那么一共给了返了1万块钱的积分,返了我1万的积分,对不对?然后我又把1万块1万的积分给他花了,...

什么是业务逻辑漏洞? 优惠卷安全测试讲解

阅读(230)

什么是业务逻辑漏洞?尤其在优惠卷上存在的最多,就好比买了一个500块钱的衣服,然后呢给了我一张100优惠券,让我买其他的东西,然后呢我又买用这100元优惠券买了一双拖鞋,只要...

优惠卷黑盒测试中存在的漏洞有哪些?

阅读(167)

优惠券,你用了之后,如果说这商品你退了,优惠券还退不退给你,这是不是也要测试?优惠券退不退,你积分退不退给你是不是也要测试?对不对?那优惠券超出有超过多长时间就说...

在网站安全测试中什么是正向和逆向逻辑?

阅读(191)

所以说咱们先试优惠券能不能正常用正常使用,我给它划分出来几条,对吧?优惠券能否正常使用。我要这么写的话太多,你知道吧?我先说吧好吧?我先说你们先听好不好?要不然话...

任意用户密码修改逻辑漏洞的修复办法

阅读(193)

可以通过篡改用户名或身份证、暴力解读验证码等方法修改/重置任意账户的密码。测试方法: 修改密码的步骤一般是检查用户的原始密码是否正确,然后让用户输入新密码。修改密码机...

什么是sql注入? 怎么修复该漏洞

阅读(119)

SQL注入通常是指将SQL命令插进Web报表递交或输入域名或页面请求的查询字符串,最终实现欺骗服务器恶意的SQL命令。总的来看,运用现有的应用程序,将(恶意)SQL命令注入后台数据库引...

如何修复XSS跨站脚本漏洞?

阅读(121)

跨站脚本攻击的英文全称CporSSSateScript,为了更好地区分样式表,缩写为XSS。原因是网站将客户键入的内容输出到页面,在此过程中可能会有恶意代码被浏览器执行。跨站脚本攻击是指恶...

短信验证码漏洞都有哪些? 如何修补

阅读(195)

有些网站是用手机短信登录的,短信验证码可以绕过,开展别的操作。检验方法:一、请求发送一条短信,填写一个验证码,然后提交另一个操作请求,验证码的参数是空的,或者是删...

验证码重复利用漏洞的测试与修复办法

阅读(197)

一些网站登录框中存在图形认证代码,防止暴力破解攻击,但正常逻辑是在前端输入认证代码后进行认证图形认证代码的正确性,如果是真的,则进行登录操作,如果是假的,则返回认...