Hello there,
A4 ⇨ Insecure DOR(Order Tickets)を選択して。
動作確認をしてみると。
どうやら1枚のチケットが15ユーロのようで。
10枚のチケットを購入しようとして。
Burp Suiteでパラメータを確認すると。
購入チケット枚数と。
チケット単価が渡されていたので。
チケットを100枚に変更して。
チケット単価を0円にしてみて。
結果は、チケット100枚が0円となった。
ちなみにOWASP ZAPで動的スキャンをしてみると。
パラメータの改ざんは検出されず。
スキャンの詳細を見ても。
パラメータ改ざんはスキャン対象となっているのだが。
もしかしたら使い方が悪いのか。
OWASP ZAPでは見つけられないのか。
Best regards,