商品编号篡改测试,邮箱和用户篡改测试
手机号码篡改测试-业务安全测试实操(6)_luozhonghua2000的博客-CSDN博客
邮箱和用户篡改测试
测试原理和方法
在发送邮件或站内消息时,篡改其中的发件人参数,导致攻击者可以伪造发信人进行钓鱼攻击等操作,这也是一种平行权限绕过漏洞。用户登录成功后拥有发信权限,开发者就信任了客户端传来的发件人参数,导致业务安全问题出现。
测试过程
攻击者抓包篡改发信请求,可伪造发信人,发送钓鱼信件,如图 所示。
步骤一: 编写邮件,单击“发送”按钮,如图 所示
步骤二:使用Burp Suite工具将邮件发送数据包中的发件人参数“inputFrom”进行修改并提交发送邮件,如图 所示。