零基础实战：靶场商场网站漏洞利用与安全测试

本人是新手小白，这篇文章主旨是记录本人从新手学习历程，如有错误或者不合规不合法的地方请大家多多指正。

实战前准备

学习计算机网络的基础和抓包辅助工具的运用

网络通信基础载体与协议

URL：是统一资源定位符的缩写，是关联DNS、端口号、协议，是应用层资源访问的"核心导航地址”。

HTTP协议：是基于TCP/IP模型应用层的无状态协议，用于在客户端(如浏览器)和服务器之间传输超文本资源，是互联网访问的基础协议。

安全通信协议与加密技术

HTTPS协议：HTTPS 是HTTP 的加密版本. 通过在HTTP和TCP之间添加"SSL/TLS加密层”，实现请求/响应数据的加密传输，解决HTTP明文传输的安全隐患。

CA、数字证书与数字签名：（1）CA：是公认的、权威的"数字证书颁发机构”，负责验证服务器的真实身份，为合法服务器颁发"数字证书”。同时自身拥有"根证书”(用于验证下级证书的合法性)。（2）数字证书：是服务器的"数字身份证”，包含以下核心信息：服务器的域名、公钥;CA机构的数字签名；证书的有效期。是客户端通过数字证书获取服务器公钥，同时验证服务器身份的合法性（由ca背书）。（3）数字签名：是CA机构对数字证书内容的“加密验证信息”，基于非对称加密实现。

网络安全辅助工具与技术

Burpsuite：是一款用于测试 Web 应用程序安全性的集成平台，广泛用于渗透测试和漏洞挖掘。

靶场搭建

我这里是使用的是老师搭建好靶场和网站。（还在学习中）

实战开始

1、打开提前在FoxyProxy配置的bp。

2、在firefox里输入靶场里预设的网站。

3、打开Burpsuite并打开拦截开始抓取选中的订单信息

4、分析抓取到的信息分析，最后锁定 “num=1”是可以商品中的数量并且可以修改为“num=0.00001”。

5、最后实现了原商品为1200修改后仅为1.1999...的价格，确定修改“num=1”修改为“num=0.00001”为实验成功。

（本次实验均在人为搭建的靶场中实现，无任何违法违规行为）