业务逻辑漏洞个人经验集锦【不定时更新~】

一、保险类业务：

　　1、如：某公司推出某短期旅游险，有效期只有1天，前端一般改不了时间（改的了那是功能bug了），所以需要抓包绕过js限制。

　　测试点1：生效日期能否改为当前时间之前。（假设你买的是车祸险，昨天出了车祸，今天买保险，把时间改成前天或昨天，那不就保险生效了……）

　　测试点2：结束时间能否延长，即大于1天。

　　2、某保险投保时的保额（不是支付金额是要赔偿的金额），所以跟支付金额有点区别，只要最后生成订单的赔偿金额可以任意修改，那肯定是问题了；

　　测试点：保额/赔偿费 金额修改

二、预约抢票类

测试点1：并发抢票是否可突破一人限N张票的限制。

　　　　方法：（见我另一篇《逻辑漏洞之并发测试》）

　　测试点2：是否可以用同一个验证码抢所有票种（即：验证码非一次性）。

　　　　方法：先正常流程输入验证码抢票，保存该数据包，更改票种的ID号，仍用刚刚的验证码，提交查看是否成功抢票。

三、签到领卷类

　　由于签到，领券等这类业务，一般只能一天操作一次，操作会有所限制，则测试时需注意并发发包是否可突破限制。

测试点：并发测试是否可突破次数限制。

如有错误，请及时指正，谢谢！