51Testing软件测试论坛

标题: 怎么解释在WEB页面已经做了限制的充值金额的情况下 [打印本页]

作者: 姿态 时间: 2018-1-25 16:31
标题: 怎么解释在WEB页面已经做了限制的充值金额的情况下

怎么解释在WEB页面已经做了限制的充值金额的情况下，有人能够在我们做的APP的h5页面，用一分钱充了2000现金点券？这是啥问题？下图是充值记录。[attach]110296[/attach]

作者: 小浩321 时间: 2018-1-25 16:33
前台校验是可以绕过的，发 http 模拟请求就行了；截获请求，修改参数值，再发出去；可以看到，第一次是待支付，就是探测请求的数据格式，摸到请求规律；尝试模拟 http 请求，绕过前端验证，获得充值成功；第三次开始的后面扩大战果；思路很清晰；这属于安全事件了。

作者: xiaohii 时间: 2018-1-31 15:40
典型的安全性问题，主要是接口写的不够健壮。

作者: xiaohii 时间: 2018-1-31 15:44
典型的安全性问题，服务端的接口健壮性不够，没有做校验。

欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)