業(yè)務(wù)邏輯測試報告

保密等級：機(jī)密保密等級：機(jī)密業(yè)務(wù)邏輯測試報告#項目名稱#

?? ++?? ++令＊ ＊＋?++++++??? ++.++++??? ++. +?? ++?? ++令. ++??++++++ 今+ +???++++?? ++?? ++++++++? ? ?++?? ++十上寧＋十上寧? ? +++? ? ? ++++?? ++++???++++. ' ' ++++?? +++++? ?+++?? ++＋＋?+++＋＋?+++++++++???+++++??+++++?+++?++++? ? +++?+++?? +++今+ +三六零 ::?? ++??++##項目名稱##業(yè)務(wù)邏輯測試報告##項目名稱##業(yè)務(wù)邏輯測試報告適用范圍本次業(yè)務(wù)邏輯測試是由##甲方公司名稱##授權(quán)，由北京奇虎科技有限公司（以下簡稱“奇虎360”）對涉及相關(guān)應(yīng)用進(jìn)行的業(yè)務(wù)邏輯測試，根據(jù)當(dāng)前審計結(jié)果所提交的技術(shù)報告，用于對該信息系統(tǒng)做出安全評估和加固建議，僅限于“奇虎360”和##甲方公司名稱##相關(guān)負(fù)責(zé)部門的內(nèi)部人員傳閱。版本變更歷史修改日期版本說明修改人20yy-mm-ddV1.0編寫文檔目錄適用范圍 2版本變更歷史 2綜述 1應(yīng)用風(fēng)險分析 2風(fēng)險等級分布 2風(fēng)險類型分布 2測試結(jié)果 2測試結(jié)果分析 5用戶名枚舉 5任意密碼登錄 6篡改用戶標(biāo)識 8憑證校驗狀態(tài)步驟繞過 9篡改金額 11##項目名稱##業(yè)務(wù)邏輯測試報告##項目名稱##業(yè)務(wù)邏輯測試報告PAGEPAGE1綜述20197172019717作為報告統(tǒng)計依據(jù)。2xyzt個。XXX作，以規(guī)避測試過程中的生產(chǎn)運(yùn)營風(fēng)險。本次測試的目標(biāo)系統(tǒng)如下：目標(biāo)系統(tǒng)IP地址xx.xx.xx.xxIP測試IPIP歸屬111.111.xx.xx四川省綿陽市本次測試使用的賬號如下：測試賬號測試密碼admin123456admin1123456應(yīng)用風(fēng)險分析風(fēng)險等級分布本次風(fēng)險按等級統(tǒng)計：##項目名稱##風(fēng)險等級個數(shù)統(tǒng)計表嚴(yán)重高危中危低危0002風(fēng)險類型分布本次風(fēng)險按類型統(tǒng)計：數(shù)量數(shù)量支付找回密碼登錄注冊543210##項目名稱##漏洞類型分布圖測試結(jié)果測試項目測試模塊測試內(nèi)容狀態(tài)描述任意用戶不存在檢查網(wǎng)站在用戶注冊時是否采用了圖形/滑塊驗注冊批量注冊證碼、手機(jī)驗證碼、郵箱驗證碼等注冊限制措施。用戶名枚存在檢查網(wǎng)站在登錄時，是否將用戶名錯誤以及密舉碼錯誤設(shè)置為統(tǒng)一提示密碼暴力不存在檢查網(wǎng)站對用戶的登錄接口的失敗錯誤次數(shù)進(jìn)破解/撞行了限制，或是否采用圖形/滑塊驗證碼、手機(jī)庫攻擊驗證碼，或?qū)M(jìn)行等登錄限制措施。業(yè)務(wù)邏輯登錄任意密碼登錄存在檢查網(wǎng)站在登錄時，是否可以修改登錄請求后服務(wù)端響應(yīng)返回的狀態(tài)碼，使前端根據(jù)狀態(tài)碼風(fēng)險認(rèn)定用戶登錄成功，從而繞過用戶密碼驗證登錄越權(quán)不存在檢查網(wǎng)站是否可以修改登錄成功后服務(wù)端響應(yīng)返回的用戶id或用戶名，實(shí)現(xiàn)越權(quán)他人用戶找回密碼不存在檢查網(wǎng)站在進(jìn)行找回密碼操作請求時，返回包憑證泄露中是否泄露帶有重置鏈接的憑證地址，或手機(jī)驗證碼找回密碼篡改用戶存在檢查網(wǎng)站在提交用戶修改密碼請求時，是否可標(biāo)識篡改用戶名/手機(jī)號/郵箱等，越權(quán)修改他人密碼用戶名與不存在檢查網(wǎng)站在用戶修改密碼時是否只校驗手機(jī)或驗證碼一者郵箱驗證碼，未將要修改的用戶名與驗證碼致性未校做綁定操作驗郵箱弱不存在檢查網(wǎng)站發(fā)送郵箱的密碼修改鏈接中的tokentoken值是否為單一時間戳、用戶名md5加密、呈現(xiàn)順序遞增規(guī)律等弱token值憑證校驗存在未通過cookie等參數(shù)校驗當(dāng)前，可通過修改返狀態(tài)步驟回包中的狀態(tài)參數(shù)，使其繞過驗證碼校驗，直繞過接跳轉(zhuǎn)至修改密碼頁面進(jìn)行密碼修改檢查網(wǎng)站支付金額是否由前端默認(rèn)生成，服務(wù)端未對金額進(jìn)行再次驗證，導(dǎo)致可以篡改金額，0元或1元購漏洞，或負(fù)值支付賬戶余額篡改金額存在增加等情況支付檢查網(wǎng)站服務(wù)端是否僅校驗了優(yōu)惠券的種類，但未校驗優(yōu)惠券金額大小，導(dǎo)致可以篡改優(yōu)惠券金額無限趨近于實(shí)際商品價格篡改數(shù)量不存在檢查網(wǎng)站服務(wù)端是否對購買或充值數(shù)量進(jìn)行校驗，導(dǎo)致數(shù)量可以為負(fù)值，實(shí)現(xiàn)負(fù)值支付賬戶余額增加等情況篡改交易不存在檢查網(wǎng)站交易進(jìn)行支付時，是否可以篡改為他賬號人支付賬號或銀行卡號進(jìn)行越權(quán)支付抽獎/活刷取活動動獎品盜刷積分抽獎作弊秒殺充值/提現(xiàn)虛假充值金額充值數(shù)量篡改篡改充值賬戶超額提現(xiàn)越權(quán)提現(xiàn)篡改提幣賬戶其他業(yè)務(wù)風(fēng)險##項目名稱##業(yè)務(wù)邏輯測試報告##項目名稱##業(yè)務(wù)邏輯測試報告PAGEPAGE5測試結(jié)果分析用戶名枚舉風(fēng)險等級：中危漏洞URL：漏洞描述:存在于系統(tǒng)登錄頁面，利用登錄時輸入系統(tǒng)存在的用戶名錯誤密碼和不存在的用戶名錯誤密碼，返回不同的出錯信息可枚舉出系統(tǒng)中存在的賬號信息.當(dāng)用戶名不存在時提示：當(dāng)用戶名存在時提示：修復(fù)建議:將賬號錯誤及密碼錯誤統(tǒng)一設(shè)置為“賬號或密碼錯誤”任意密碼登錄風(fēng)險等級：高危漏洞URL：漏洞描述:登錄校驗機(jī)制存在缺陷，導(dǎo)致可繞過賬號密碼驗證實(shí)現(xiàn)登錄。將小程序源碼逆向出來，查看管理員登錄界面的js，發(fā)現(xiàn)只要在返回請求中adminId不為null的情況下，便會跳過登錄認(rèn)證到管理員主界面##項目名稱##業(yè)務(wù)邏輯測試報告##項目名稱##業(yè)務(wù)邏輯測試報告PAGEPAGE10嘗試登錄管理端添加返回包中的值{"adminId":"1"}登錄成功修復(fù)建議:建立完善的會話認(rèn)證機(jī)制，通過實(shí)時隨機(jī)session會話等來校驗用戶。篡改用戶標(biāo)識風(fēng)險等級：高危漏洞URL：漏洞描述:直接通過修改用戶對應(yīng)手機(jī)號便可進(jìn)入重置密碼界面重置密碼成功修復(fù)建議:對要修改的用戶名、手機(jī)或郵箱、驗證碼或token三個進(jìn)行統(tǒng)一認(rèn)證。憑證校驗狀態(tài)步驟繞過風(fēng)險等級：高危漏洞URL：漏洞描述:回的信息把回包中false改為true后，即