【业务安全05】业务逻辑漏洞之篡改交易数据——基于大米CMS-V5.4电子商城

1 业务数据安全

1. 概述：商品数量篡改测试是通过在业务流程中抓包修改订购商品数量等字段，以判断服务器是否存在商品订购数量篡改漏洞。
2. 手段：将请求中的商品数量修改成任意非预期数额、负数等进行提交，查看业务系统能否以修改后的数量完成业务流程。
3. 目的：该项测试主要针对商品订购的过程中，服务器对异常交易数据处理缺乏风控机制而导致相关业务逻辑漏洞。

2 实验介绍

2.1 实验目的

1. 加深对业务数据安全重要性的理解；
2. 掌握测试业务数据是否存在篡改交易数据漏洞的方法。

2.2 实验环境

1. 实验靶场——虚拟机：本节实验靶场是在win2008系统上基于phpstudy搭建的一个简单网站，win2008及phpstudy的安装过程可以参考《win2008R2SP1+WAMP环境部署》，网站的搭建过程可以参考《综合实验：一个简单丑陋的论坛网站》。

2. 下载damiCMS-V5.4版CMS电子商城代码。
   链接：https://pan.baidu.com/s/1b-Z6RaFBZ6CsSIErY46Pyg?pwd=q8qq
   提取码：q8qq

3. 解压并复制文件夹到靶机中的根目录下。不同版本的phpstudy软件的安装时生成的目录可能存在差异，本文dami_5.4路径如下。
   

4. 真实机浏览器输入192.168.1.4/dami_5.4访问damiCMS，因为还没安装，需要先按以下步骤安装CMS。
   

5. 页面滑到最下方，勾选并点击继续。
   

6. 点继续。
   

7. 填写信息：
   （1）phpstudy中数据库的账号及密码，默认可以设置为root，数据库名填写dami。
   （2）管理员用户及密码均设置为admin。
   

8. 安装完成，点击访问网站首页。
   

9. 点击右上角注册，填写用户名、密码、邮箱，并点击确定注册。
   

10. 点击右上角进入登录页面，试试登录刚刚的账号。
    

3 实验过程

1. 真实机浏览器访问刚刚的网站，登录刚刚的账号。
   
2. 点击“在线充值”→“我要提现”。可以看到目前账户余额是0。
   
3. 进入产品展示中选择一款产品。
   
4. 在页面中将数量改为-1，点击立即购买。
   
5. 随便填点内容，在付款方式选择为站内扣款，点击提交订单。
   
6. 在网站右上角再次进入个人中心，再次查看到账户金额，发现多了6000。也就是刚刚输入的那个-1数量反过来给账户加了金额，这就是业务漏洞。
   

4 总结

1. 加深对业务逻辑漏洞的理解。
2. 掌握篡改交易数据这个业务逻辑漏洞的测试方法。