网上商城购买支付安全测试

by:授客 QQ：1033553122

 

测试思路：

测试前，查看了关于支付宝接口的相关资料，包括一些处理流程，大概了解下，觉得关于支付的测试主要在数据提交、请求这块。于是便想能否通过获取相关请求，自己模拟浏览器手动提交。百度下，找来Burp Suite这款工具。

 

工具下载地址：http://pan.baidu.com/s/1geqK7LL

 

本想着拦截相关数据请求，修改产品价格后再手动提交的，但是从获取到的数据来看，没看到相关痕迹呀，最后看到产品相关信息(id,购买价格，规格等)，于是想着能否通过改产品id，间接改变价格呢？（价格不变，更换与产品不等价产品），于是试了下，发现还真行~~

 

总体来说，测试是一种思想~~要保持思维的发散性~~

 

关于安全测试，笔者也不太懂，下面是实际工作中的一个例子，分享出来，也算是抛砖引玉吧……

 

测试实践：

第1步、  设置代理监听

简单设置如下，Burp Suite v1.6.09版本中默认就配置好了

 

 

第2步、  设置浏览器代理

火狐为例

 

注意：这里的配置信息要和第一步中的监听设置保持一致

 

第3步、  查看初始界面

 

 

第4步、  浏览器中打开要购买的产品（产品1）页面

 

 

点击【intercept is off】按钮，点击上述页面中的【立即购买】，捕获产品购买相关信息

 

第5步、  同第4步操作，获取实际不想购买的产品(产品2)的相关信息

 

 

 

第6步、  重复第5步骤(如果未执行第5步的话),修改产品2的产品ID为产品1的ID

 

 

第7步、  点击【intercept is on】按钮，查看浏览器访问情况

点击按钮后，浏览器自动跳转到以下界面

 

 

从上图可看到，我们通过产品2(学派)来购买产品1(电磁笔)，并且间接修改了产品1的价格（原价199，现价1元）