Hey guys!
ちょっと気になる点を。
下記のようにアカウント登録時にパスワードを入力して送信の際。
Burp Suiteでパラメータを確認すると平文で送信されており。
登録したアカウントでログインする際も。
Burp Suiteでパラメータを確認すると平文で送信されており。
その後、ショッピングをして。
カートを確認してオーダーして。
クレジットカード情報を入力して決済しても。
Burp Suiteでパラメータを確認するとカード情報が平文で送信されており。
ちなみに、ここにもデータを入力して検索して照合する機能をもつ画面があった。
SQLインジェクションの診断対象画面になるかと。
ちなみにこのクレジットカードは、SQLインジェクションでカード情報を得た際に取得した他人のカード番号で。
どうやらカード情報の有無の確認のみで、ログインアカウントとカード情報の照合もされていないようだ。
これらの脆弱性は、攻撃者はトラフィックを盗聴し、ログイン資格情報やクレジットカード情報などの機密情報を傍受でき。
強力な暗号キーを使用したSSL暗号化/TLS暗号化を使用して。
CA機関証明書を使用して。
防御しないと。
best regards,