記錄一下:
一、身份認證安全
1、暴力破解賬號密碼
沒有設置錯誤最大嘗試次數,沒有驗證碼校驗,
2、前端校驗賬號密碼
修改返回包的返回值測試。
3、密碼重置安全
利用短信驗證碼回傳,驗證碼暴力破解等
二、業務接口調用
1.重放攻擊
短信炸斷,自定義短信內容,郵件查單
三、業務交易安全
竄依篡改金額,負數支付,繞過支付,支付溢出,多線程併發,多重替換支付
四、業務授權安全
水平越權和垂直越權
APP安全測試一般關注點
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.