如何进行逻辑漏洞的渗透测试

许多网络平台都是利用参加活动类赚取奖金的功能模块的方法来留住客户或是运用资产、数字货币、積分等在线交易，殊不知要是这种功能模块沒有设计好，非常容易导致特大的收益亏损。比如说今年初拼多多平台被爆一百元无门坎优惠劵漏洞就使拼多多平台遭到足量的亏损。

我们检测的情况下能够分成下列多种检测场景开展检测：

一.中间人攻击

中间人攻击就是指攻击者传送1个效果服务器已收到过的包，来做到蒙骗服务器的效果。在交易活动营销功能模块里，除去开展简易的中间人攻击开展盈利外，针对大批量的post请求一起进行时，要是没有开展非常好的解决，那么就可额能存有标准市场竞争漏洞。

1.无限大盈利

这里列举一个例子：

a).某地区网络运营商举行双11红包活动，得奖后可活动运用码换取礼品。

b).还未换取前的总流量。

c).键入运用码金币兑换五十M总流量。

d).可取得成功换取总流量。

e).爬取换取总流量的数据文件开展重放可无限大次换取总流量。

2.标准市场竞争

这里列举一个例子

a).某app客户端发布了新手微信红包活动，新注册能够免费领取一回大红包，运用抓包工具开展爬取领取红包的数据文件。

b).随后一起高并发好几个数据文件。

c).因为沒有搞好大批量高并发post请求的解决，可一起领取好几个大红包。

二.数据信息篡改

在交易活动营销功能模块中，常常会涉及到交易、转帐或是是换取涉及到资产、虚拟货币、積分等，必须留意预防利用主要参数篡改开展不法盈利。普遍的二种篡改方法各自为额度篡改和总量篡改。在检测环节要留意交易、换取环节中的货品成本价、货品原价是不是能够超出极限值改成0、1、负值，试着对额度开展篡改；在换取环节中也需要留意对总量主要参数的检测，试着是不是可完全免费或较低额度换取大批量積分、虚拟货币等。

1.额度篡改

这里列举一个例子：

a).某旅行网站的机票订购功能模块存有随意额度订购漏洞。

b).检索国际航班。

c).挑选一趟飞机票开展订购，这时可看到额度最少为2896

d).递交订购订单信息。

e).运用抓包工具开展抓包，可发觉数据文件中的totalPrice是飞机票价。

f).将飞机票价改动为0.02，发觉能够用0.02的价钱订购随意飞机票。

2.总量篡改

(1)将总量改大。

a).某app软件可开展每日签到抽奖活动获得阅币（五十阅币相等于1元钱）.

b).最先获得自个微信签到和抽奖活动情况下的超链接，下一次能够直接用电脑浏览器浏览超链接每日签到、抽奖活动。抽奖活动情况下的接入相近这种的（XX是取代标识符）：