最近在挖src,总结一下自己的测试项,当然根据不同的业务有着不同的测试点。此篇文章对通用的测试点进行总结,当然以后碰到没遇到的测试点会更新。
0x01:登录处
撞库
注入
验证码回显
手机四位验证码爆破
验证码绕过(抓包删除验证码或置为空)
万能验证码(888888,111111等)
发送短信登录进行短信轰炸
用户凭证替换
三方登录处oauth漏洞
0x02:注册处
任意用户注册
验证码回显
已存在用户重复注册(注册时修改用户名为已存在的用户名)
发送注册验证码短信轰炸
0x03:密码找回处
四位数验证码爆破
验证码回显
验证码空值绕过
验证码可重复使用
抓包修改用户凭证
session覆盖
弱TOKEN可被识别并修改
修改返回包
用户凭证回显
短信轰炸
0x04:个人中心
个人资料处存储xss
查看个人资料处越权
个人资料中敏感信息的jsonp漏洞
敏感信息的CORS漏洞
查看个人消息处越权
查看个人消息处jsonp漏洞
删除评论处越权
0x05:订单功能处
支付订单处逻辑漏洞(1元支付,负数支付,整数溢出)
修改优惠券,运费,服务费等价格
修改商品数量
支付成功后returnUrl任意url跳转
查看收获地址处越权
添加收货地址处存储xss
添加收获地址处越权添加他人地址
查看个人订单详情处越权,CORS,jsonp漏洞
订单发票下载处越权,任意文件下载漏洞