0x00：前言

    本次总结是借鉴了月神大大之前的部分专项业务逻辑测试点，结合自己
的测试经验进行补充说明，分享细化并延伸开，考虑到每个人的挖掘漏洞
的领域不同，所以可能会有所遗漏，只能尽可能全面，方便于大家在测试
对应类型站点的时候，能够快速的定位到可能存在问题的功能点，测试点 。
若有欠缺，还请各位大大不吝赐教，多来聊骚。

0x02：专项测试点

金融类

主要面向各类地方银行、国有银行等

020 商城

详情见“电商类”

业务办理预约

开户、贷款、取款预约等业务预约流程进行身份证、手机号校验，可跳过身
份校验
时间绕过、无会话 token、上下流程无关联，导致可批量预约申请、贷款申
请、开户申请
JS 文件存在隐藏接口服务、参数
XSS 攻击

站点门户

资源请求功能处可 SSRF
投诉、建议、咨询、留言等可进行重放攻击
在线客服、投诉、建议、咨询、留言等可进行 XSS 钓鱼
项目文档、公告文件遍历，可遍历出开发测试或未对外开放的敏感文件
SQL 注入攻击
JS 文件存在隐藏接口服务、参数
业务查询

未授权、越权查询、篡改、取消业务
部署第三方接口未做好处理，导致敏感信息回显 //部分调用银联接口，未
做好回显处理，导致可通过手机号或身份证号查阅到用户绑定的其他信息。
SQL 注入
业务单号可枚举遍历

网银

包含个人网银、企业网银
SQL 注入
各个业务服务功能越权
登录后的图案屏保、密码屏保绕过
功能接口敏感信息泄露

节日活动

游戏活动积分刷取 //主要利用重放、和参数篡改的方式
抽奖、领券并发
基于时间判断的活动抽奖次数限制绕过
兑奖并发
领奖条件限制绕过

互动板块

员工活动园区、用户活动社区，详情参考“社交类”

政府、教育机构类

主要面向政府机关单位、高等院校

业务办理预约

校验缺陷，可借用虚假信息进行考试报名、消耗报考次数
报考费用篡改、流程绕过等
生活业务批量预约、申请
CSRF 攻击
XSS 攻击

站点门户

对外开放的项目、事件公示公告未做敏感信息处理，详情可参考“对弱口
令 CP 组挖掘解析——密码篇”中的实战案例
文档文件遍历
路径可控，文件任意读取
SQL 注入攻击
公告栏敏感信息泄露 //特别一些关于企业、个人通报的公告，可能页面对
人员敏感信息（手机号、身份证号）做了*处理，但是服务器返回包明文显
示，这类情况不少见。

互动板块

市民交流论坛、学校师生活动社区，详情参考“社交类”

各类管理系统

访问限制绕过 //主要针对于高校系统，考虑到高校大多采用校园网，而不
是采用 VPN 连接方式，导致可篡改 HTTP 头部的 XFF 进行 IP 伪造为
本地 IP，从而绕过访问限制。
登录类、验证码类测试 //参考“业务逻辑测试汇总——通用篇”
系统使用文档指南敏感信息泄露
文件遍历、任意读取 //位于登录页面的一些指示文档

业务查询

越权查询、篡改、取消业务
SQL 注入
业务单号可枚举遍历

电商类

主要面对商城交易里的各个模块，订单交易、查询、评论等
商品限量、优惠券限量、抽奖功能、提现、会员充值可并发
订单完成中会有商品评价，会检测是否购买过商品，通过篡改待支付订单
的状态码进行绕过，对未支付订单商品进行评价
支付订单、生成订单时修改敏感参数、或替换订单 ID、商品 ID、数量、金额
等导致订单金额篡改
总金额=商品金额+优惠券金额（只校验订单总金额，而不单独校验优惠券
金额跟商品金额，可增大优惠券金额）
校验商品总数量不能为负数，而不校验单个数量，可以设置两个商品一个
数量为-1，一个数量为 2。
使用优惠券、退货处、订单查询、收货地址、个人信息、商品评价等可越权使
用、篡改、删除
订单参数混淆干扰，在同一个订单内提交两个或多个金额参数，如
price=1&price=-1
强制攻击        //强制攻击发生在暴力破解的情况下，如果一个商家运
用一个自己的网店，接入第三方支付接口，由于设计上的不当导致商家与
第三方支付约定的密钥 Key
可以单独被 MD5 加密，导致可以使用 MD5 碰撞技术对密钥进行破解，
攻击者可以设计简单的密钥加密信息使得 MD5 加密是可以用 MD5 碰撞
技术进行暴力破解
订单金额单位可替换
收款账号、二维码篡改
支付流程缺陷，可跳过，假设 abcd 四个步骤，c 为校验步骤，直接跳过
c 进入到 d 步骤）
int 型溢出（超过最大值整数溢出）遍历优惠券 id，有可能遍历出测试隐
藏的无条件大额优惠券
订单未捆绑，确定支付之后还可以将商品加入购物车：把商品放入购物车
点击下单支付，会跳转到微信，支付宝等第三方支付平台。这个时候还可
以继续在购物车中加入商品，支付结束之后，商家发放的商品是现在的购
物车里面的东西
JS 文件存在隐藏接口服务、参数
优惠券使用限制绕过

平台资源类

主要面向一些开放平台、例如接口平台，资源申请平台等接口、服务资源未
授权、越权使用
资源批量申请
优惠购买会员（重复使用优惠购买）
平台资源介绍文档导致接口、账号等敏感信息泄露
购买服务时并发，叠加使用时间
邀请虚假伪造用户，增长体验时长
非会员使用会员功能限制绕过

社交类
主要面向社区论坛
个人用户信息回显   //论坛、社区部分以用户手机号等方式进行注册，注
册后默认以该手机号为账号，有的会明文显示，有的会在页面上做屏蔽处
理，但服务器返回是明文
修改密码、个人信息越权操作
用户批量注册
注册信息覆盖
客户端校验绕过
评论区可外链钓鱼链接（包括 XSS）
任意文件上传
加密帖检验绕过
强行加好友（一般尝试重发通过好友这条协议）
自由修改号码（靓号类）
非会员使用会员功能

证券、保险类

主要面对证券机构、保险行业等

O2O 商城

见“电商类”

商业推广

好友短信邀请内容可控 //“发件方为该证券、保险公司”
好友邮箱邀请内容可控 //“发件方为该证券、保险公司”
短信、邮箱批量发起

业绩回报

可跨区查看其他区域销售人员业绩
业绩汇报敏感信息泄露（包括工号、手机号等）

节日活动类

见“金融类——节日活动“
互动板块

见“社交类”

各类管理系统类

登录类、验证码类测试 //参考“业务逻辑测试汇总——通用篇”

门户网站

APP 下载信息可控 //部分证券、保险，下载其 APP 时，需对用户手机号

进行校验，然后将 APP 下载的链接以短信形式发送给用户，且内容信息
可控
资源请求功能处可 SSRF
投诉、建议、咨询、留言等可进行重放攻击
在线客服、投诉、建议、咨询、留言等可进行 XSS 钓鱼
项目文档、公告文件遍历，可遍历出开发测试或未对外开放的敏感文件
SQL 注入攻击
JS 文件存在隐藏接口服务、参数

医院医疗类

预约挂号
批量预约挂号申请
越权取消、查看、篡改预约挂号信息
预约次数限制突破

充值缴费

订单金额篡改

O2O 商城

主要针对于一些医疗器材销售，详情见“电商类”

报告、清单查询
越权查看、篡改他人看诊报告、消费清单
清单、报告 ID 可遍历枚举
用户身份校验缺陷（绕过、短信可爆破） //针对于短信验证码校验，大多
数公众号类是采用手机号+验证码的形式登录，详情见“业务逻辑测试汇
总——通用篇——验证码类、登录类”

便民服务

问卷调查批量恶意评价
突破调查满意度限制
住院、看诊记录越权查看
市民服务批量预约
取药凭证可枚举暴破

服务类

主要面向于生活服务，包括外卖、物流快递、交通运输等

外卖

商品数量，0，负数，小数，特定值，正负数（A 为-1，B 为 2，总值为

1）
送餐员评价、星级、打赏金额修改（小数，负数）
商品评价字数、星级限制突破，上传图片是否可以自定义格式，
送餐地址限制突破
强行货到付款，取消订单，退款
越权操作别人订单，登陆
优惠购买会员（重复使用优惠购买）
外卖红包并发领取
红包、优惠券可枚举

物流快递

快递单号可枚举暴破
订单信息、收货地址、用户个人信息可越权查看、操作
预约寄件服务批量发起，且未对人员信息进行合法校验，导致可恶意伪造

交通运输
无限叫车，重复发送协议造成市场混乱
修改评价分数
修改限时优惠叫车关键参数
替换优惠卷
越权操作其他订单

娱乐类

主要面对直播、漫画、音乐等软件

音乐

唱歌类软件修改上传分数等参数
评论区批量恶意评论、越权评论
付费下载尝试替换下载 ID
修改付费下载金额
F12 查看下是否有歌曲地址

漫画

打赏金额为负数，小数，特定值（溢出）
越权删除评论，登陆
修改充值金额
付费漫画免费看
评论图片数量过多会导致客户端加载卡死

直播

快速进出房间炸房
无限发送点赞协议
修改礼物数量，0，小数，负数，特定值（一般情况下为 1073741824）
修改礼物 ID，遍历尝试是否有隐藏 ID
并发送礼物，抽奖
无限创建首次优惠订单，有些首次优惠订单是一个特殊的 pid，这种的直
接替换 pid 进行支付。有些是相同的 ID，这种的提前创建订单，记录多
个订单号在依次修改订单支付。
刷屏：发言刷屏，分享，点赞等有提示的地方刷屏
房间内可以申请的地方进行申请取消操作，看看是否能炸房。
越权踢人，增加管理员，关闭房间等操作。
发送的表情是否可以修改长宽
0x03：小结

    业务逻辑问题遍布各处，可以说你所见之处便可能存在逻辑问题，故而
个人建议，在对目标进行测试时，先整体全面的对该目标上的所有业务服
务流程走一遍，并做好记录（参数、上下流程关联性、功能之间的联系），
以便后面综合性的测试，避免遗漏。能够做到心中有数。