Hello there,

 

A4 ⇨ Insecure DOR(Order Tickets)を選択して。

 

 

動作確認をしてみると。

 

 

どうやら１枚のチケットが15ユーロのようで。

10枚のチケットを購入しようとして。

Burp Suiteでパラメータを確認すると。

 

 

購入チケット枚数と。

チケット単価が渡されていたので。

 

 

チケットを100枚に変更して。

チケット単価を0円にしてみて。

 

 

結果は、チケット100枚が0円となった。

 

 

ちなみにOWASP ZAPで動的スキャンをしてみると。

パラメータの改ざんは検出されず。

 

スキャンの詳細を見ても。

パラメータ改ざんはスキャン対象となっているのだが。

もしかしたら使い方が悪いのか。

OWASP ZAPでは見つけられないのか。

 

 

Best regards,