shikata ga nai

Private? There is no such things.

Parameter Tampering ₹→$を訳してみた

Hello there, ('ω')ノ

 

£→$へのパラメータ改ざんを。

 

脆弱性:

 パラメータの改ざん

 

記事:

 https://suneets1ngh.medium.com/parameter-tampering-ddd9b3de0da8

 

パラメータの改ざんとは、HTTPリクエストとレスポンスを介して。

クライアントとサーバ間で交換されるパラメータの改ざんまたは操作で。

パラメータには、通貨の種類、国コード、価格、許可などの情報が含まれていて。

これは、Webサイトの機能を向上させて。

アプリケーションデータを変更するために使用されて。

 

簡単に言えば、パラメータは特定のデータ。

をクライアントとサーバ間でやり取りして。

操作されたデータがサーバに送信されて、サーバがデータを検証または。

安全に処理しなかった場合、アプリケーションが悪意のある方法で。

操作される可能性があるので。

パラメータ改ざん攻撃として知られていて。

 

今回は、Burp Suiteを使用して、スポーツベースのeコマースWebサイトで。

パラメータ改ざんの脆弱性を探していて。

金額を変更して基本的な金額操作を試みたものの。

チェックアウト時に金額を修正し続けるバックエンドでの検証が。

いくつかあったため、機能せず。

 

そこで、通貨パラメータをINRからUSDに変更して。

チェックアウト金額をINR(インドルピー)からUSD(米ドル)相当に。

変更したものの、チェックアウト時には通貨タイプをINRからUSDに変更されず。

ただ、チェックアウト時に$ USDではなく£ INRが表示されていたものの。

その製品の操作されたUSD相当の価格で。

操作された価格でチェックアウトできて。


パラメータ

 buyerCurrency: "INR"

 

f:id:ThisIsOne:20211022194859p:plain

 

下記が、元の価格で。

 

f:id:ThisIsOne:20211022194925p:plain


下記が、操作後の価格で。

 

f:id:ThisIsOne:20211022194947p:plain

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain