我的漏洞测试项

最近在挖src,总结一下自己的测试项,当然根据不同的业务有着不同的测试点。此篇文章对通用的测试点进行总结,当然以后碰到没遇到的测试点会更新。

0x01:登录处

撞库
注入
验证码回显
手机四位验证码爆破
验证码绕过(抓包删除验证码或置为空)
万能验证码(888888,111111等)
发送短信登录进行短信轰炸
用户凭证替换
三方登录处oauth漏洞

0x02:注册处

任意用户注册
验证码回显
已存在用户重复注册(注册时修改用户名为已存在的用户名)
发送注册验证码短信轰炸

0x03:密码找回处

四位数验证码爆破
验证码回显
验证码空值绕过
验证码可重复使用
抓包修改用户凭证
session覆盖
弱TOKEN可被识别并修改
修改返回包
用户凭证回显
短信轰炸

0x04:个人中心

个人资料处存储xss
查看个人资料处越权
个人资料中敏感信息的jsonp漏洞
敏感信息的CORS漏洞
查看个人消息处越权
查看个人消息处jsonp漏洞
删除评论处越权

0x05:订单功能处

支付订单处逻辑漏洞(1元支付,负数支付,整数溢出)
修改优惠券,运费,服务费等价格
修改商品数量
支付成功后returnUrl任意url跳转
查看收获地址处越权
添加收货地址处存储xss
添加收获地址处越权添加他人地址
查看个人订单详情处越权,CORS,jsonp漏洞
订单发票下载处越权,任意文件下载漏洞

发表评论

电子邮件地址不会被公开。 必填项已用*标注