Shikata Ga Nai

Private? There is no such things.

Bad Storeで機密情報傍受

Hey guys!

ちょっと気になる点を。

下記のようにアカウント登録時にパスワードを入力して送信の際。

 

f:id:ThisIsOne:20191114105846p:plain

 

Burp Suiteでパラメータを確認すると平文で送信されており。

 

f:id:ThisIsOne:20191114110047p:plain

 

登録したアカウントでログインする際も。

 

f:id:ThisIsOne:20191114110253p:plain

 

Burp Suiteでパラメータを確認すると平文で送信されており。

 

f:id:ThisIsOne:20191114110415p:plain

 

その後、ショッピングをして。

 

f:id:ThisIsOne:20191114110839p:plain

 

カートを確認してオーダーして。

 

f:id:ThisIsOne:20191114110957p:plain

 

クレジットカード情報を入力して決済しても。

 

f:id:ThisIsOne:20191114112506p:plain

 

Burp Suiteでパラメータを確認するとカード情報が平文で送信されており。

ちなみに、ここにもデータを入力して検索して照合する機能をもつ画面があった。

SQLインジェクションの診断対象画面になるかと。

 

f:id:ThisIsOne:20191114112353p:plain

 

ちなみにこのクレジットカードは、SQLインジェクションでカード情報を得た際に取得した他人のカード番号で。

どうやらカード情報の有無の確認のみで、ログインアカウントとカード情報の照合もされていないようだ。

 

これらの脆弱性は、攻撃者はトラフィックを盗聴し、ログイン資格情報やクレジットカード情報などの機密情報を傍受でき。

強力な暗号キーを使用したSSL暗号化/TLS暗号化を使用して。

CA機関証明書を使用して。

防御しないと。

 

best regards,