接口调用参数篡改测试,接口未授权访问/调用测试
接口调用参数篡改测试
测试原理和方法
在短信、邮件调用业务环节中,例如短信验证码、邮件验证码。修改对应请求中手机号或邮箱地址参数值提交后,如果修改后的手机号或邮箱收到系统发送的信息,则表示接口数据调用参数可篡改
测试过程
如图所示,攻击者拥有账号B,用户拥有账号A。攻击者对账号A进行密码找回操作,服务器给账号 A 的邮箱或者手机发送密码重置信息,攻击者进入验证码验证环节,此时攻击者单击“重新发送验证码”并拦截重新发送这个请求,将请求中的接收验证码用户的邮箱或者手机修改为自己的。如果接收到密码重置信息,则存在漏洞。
测试过程以某手机App系统为例。
步骤一: 如图 所示,在短信验证码页面单击“重新发送”同时抓取数据包。
步骤二: 如图 所示,在截取数据中将param.telno参数(指定发送手机号码)修改为其他手机号码。
步骤三: 如图 所示