Hello there, ('ω')ノ

 

£→$へのパラメータ改ざんを。

 

脆弱性：

　パラメータの改ざん

 

記事：

　https://suneets1ngh.medium.com/parameter-tampering-ddd9b3de0da8

 

パラメータの改ざんとは、HTTPリクエストとレスポンスを介して。

クライアントとサーバ間で交換されるパラメータの改ざんまたは操作で。

パラメータには、通貨の種類、国コード、価格、許可などの情報が含まれていて。

これは、Webサイトの機能を向上させて。

アプリケーションデータを変更するために使用されて。

 

簡単に言えば、パラメータは特定のデータ。

をクライアントとサーバ間でやり取りして。

操作されたデータがサーバに送信されて、サーバがデータを検証または。

安全に処理しなかった場合、アプリケーションが悪意のある方法で。

操作される可能性があるので。

パラメータ改ざん攻撃として知られていて。

 

今回は、Burp Suiteを使用して、スポーツベースのeコマースWebサイトで。

パラメータ改ざんの脆弱性を探していて。

金額を変更して基本的な金額操作を試みたものの。

チェックアウト時に金額を修正し続けるバックエンドでの検証が。

いくつかあったため、機能せず。

 

そこで、通貨パラメータをINRからUSDに変更して。

チェックアウト金額をINR（インドルピー）からUSD（米ドル）相当に。

変更したものの、チェックアウト時には通貨タイプをINRからUSDに変更されず。

ただ、チェックアウト時に$ USDではなく£ INRが表示されていたものの。

その製品の操作されたUSD相当の価格で。

操作された価格でチェックアウトできて。

パラメータ

　buyerCurrency: "INR"

 

 

下記が、元の価格で。

 

下記が、操作後の価格で。

 

 

Best regards, (^^ゞ