shikata ga nai

Private? There is no such things.

bWAPPでA4-Insecure DOR(Order Tickets)

Hello there,

 

A4 ⇨ Insecure DOR(Order Tickets)を選択して。

 

f:id:ThisIsOne:20191219091644p:plain

 

動作確認をしてみると。

 

f:id:ThisIsOne:20191219092250p:plain

 

どうやら1枚のチケットが15ユーロのようで。

10枚のチケットを購入しようとして。

Burp Suiteでパラメータを確認すると。

 

f:id:ThisIsOne:20191219093837p:plain

 

購入チケット枚数と。

チケット単価が渡されていたので。

 

f:id:ThisIsOne:20191219094054p:plain

 

チケットを100枚に変更して。

チケット単価を0円にしてみて。

 

f:id:ThisIsOne:20191219094217p:plain

 

結果は、チケット100枚が0円となった。

 

f:id:ThisIsOne:20191219094429p:plain

 

ちなみにOWASP ZAPで動的スキャンをしてみると。

パラメータの改ざんは検出されず。


f:id:ThisIsOne:20191219093043p:plain

 

スキャンの詳細を見ても。

パラメータ改ざんはスキャン対象となっているのだが。

もしかしたら使い方が悪いのか。

OWASP ZAPでは見つけられないのか。

 

f:id:ThisIsOne:20191219093352p:plain

 

Best regards,

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain