初入网安的小白,最近一直在深耕抓包与漏洞挖掘相关的基础操作,从理论学习到靶场实操。今天就来记录一次完整的实操经历——使用Burp Suite(以下简称BP)对电商靶场进行抓包,通过修改商品数量参数,以零点零几元的极低价格完成“成交”,全程新手友好,适合和我一样刚入门的小伙伴参考,仅供参考,还请大神多指导。
叠甲声明:本次操作仅在合法合规安全靶场进行,全程用于学习交流,无任何非法攻击、窃取数据等行为。请牢记:未经授权的任何网络操作都是违法的,靶场是我们最好的练习平台!
一、技术原理
通过Burp Suite等工具拦截HTTP/HTTPS请求,修改价格参数后再转发,绕过前端限制。但现代电商系统通常有严格后端校验,且此类行为可能涉及违法。
二、使用工具以及环境
1、工具Burp Suite
浏览器:BP内嵌浏览器
实操环境:合法搭建的销售类靶场(包含商品展示、结算等完整流程,支持前端参数提交)
辅助配置:浏览器代理设置(127.0.0.1:8080,与BP默认代理一致),关闭浏览器拦截插件(避免影响抓包)
下载火狐浏览器并安装插件
配置代理信息
三、操作步骤
本次核心逻辑是:销售靶场的前端页面未对商品数量进行严格校验,且后端未对前端提交的数量参数做二次校验,因此我们可以通过抓包篡改商品数量参数,实现“低价成交”。全程分为3个关键步骤,每一步都有详细操作。(风险与警示(务必牢记):法律风险:篡改交易数据可能触犯《刑法》中“破坏计算机信息系统罪”或“盗窃罪”,面临刑事处罚。安全风险:抓包过程中可能泄露支付信息(如账号、密码等),导致资金被盗;恶意软件也可能利用此漏洞攻击设备。道德与公平:破坏交易公平性,损害商家利益,扰乱市场秩序。)
1、启动BP(Burp Suite以下简称BP)
2、打开靶场电商网页
3、挑选商品
选择商品后BP显示抓到请求方式为POST的流量包
总价修改为0.0001。
放行后支付页面显示的金额就是.00,修改成功
第二种方法修改加入购物车的数据包
修改NUM后的值为0.01
也可以实现修改几个的功能
四、分析与总结
通过Burp Suite等工具拦截HTTP/HTTPS请求,修改价格参数后再转发,绕过前端限制。
学习内容:
1、熟练掌握BP的Proxy模块,学会拦截、查看、修改请求参数,是入门抓包的基础;
2、一定要在合法靶场练习,切勿对真实网站进行任何未经授权的操作,网络安全的底线是“合法合规”;
3、遇到表单提交、参数传递的场景,请思考“前端校验了吗?后端校验了吗?”,培养漏洞挖掘的思维。
扫一扫
9567
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
