电商Web 渗透测试小小清单
关于web渗透测试的小小清单。
1认证与授权
JWT 密钥泄露
密钥弱或可猜测 → 可篡改令牌以提升权限。 JWT没有校验签名认证绕过
受保护路由缺少验证。
前端/后端认证控制不一致。密码重置漏洞
缺少令牌过期,重置逻辑中的 IDOR(不安全的直接对象引用)。
2访问控制(BAC/IDOR)
- 访问控制失效(BAC)
普通用户身份访问仅限管理员的接口。
普通用户可访问发货开关、产品创建或优惠券管理面板。 - 不安全的直接对象引用(IDOR)
订单ID、用户ID、优惠券ID可直接访问和修改。
3 业务逻辑漏洞
- 优惠券滥用
“一次性”优惠码可重复使用。
叠加无效优惠券获得更多折扣。 - 库存操控
设置负数库存,绕过产品限购。 - 发货状态滥用
未授权即可将订单标记为已发货。 - 角色混淆 / 强制浏览
通过猜测路由强行访问管理员接口。
4 前端/后端检查
- JavaScript 侦查与源码泄露
硬编码密钥或路由提示。
部署但未使用的函数或测试逻辑。 - 隐藏参数
例如 isAdmin=true 或 debug 开关暴露在客户端代码中。 - 管理员路由发现
存在 /admin、/dashboard 等路由但保护不足。
5 注入与 XSS
- 产品字段存储型 XSS
在名称、描述等字段中插入反射或存储型 XSS 载荷。 - 管理员面板盲 XSS
在优惠券或订单视图中触发 XSS 载荷。 - 基于 DOM 的 XSS
用户输入未经处理直接用于前端路由或渲染。
6 配置错误与部署缺陷
- API/前端不同步
认证状态未统一强制执行。 - 方法限制不当
本应只允许 GET 却接受 POST 请求,或反之。 - CORS 配置错误
通配符来源或凭证泄露。
🧪 测试建议
- 始终验证操作(如应用优惠券或更改订单状态)是否检查了正确的角色或会话令牌。
- 前端假设要与后端实际情况交叉验证。
- 捕获所有敏感操作请求,并尝试用低权限用户重放。