shikata ga nai

Private? There is no such things.

Unique Case for Price Manipulationを訳してみた

Hello there, ('ω')ノ

 

価格操作のユニークなケースを。

 

脆弱性:

 支払いの改ざん

 

記事:

 https://infosecwriteups.com/unique-case-for-price-manipulation-bugbounty-vapt-df57637769cd

 

価格改ざんのテストケースにおいては。

製品(靴、Tシャツ、航空券など)の金額をRs.XXXX(または$ XXXX)から。

Rs1(または$ 1)に変更したり。

通貨形式の手段をドルからINRなどに変更したりと。

 

今回は、EコマースWebアプリケーションをテストをすることに。

価格操作のすべてのケースを試して、商品の元の金額の値を1に変更しようしても。

成功せず、エラーが発生したので。

ドルなどの通貨形式をINRに変更しても、成功せず。

 

製品にはある程度の価格があって、999ドルのような3桁の値で。

リクエストがBurp Suiteから送信されていて、その値を$100に変更したときに。

リクエストがペイメントゲートウェイに転送されて。

ペイメントゲートウェイは、支払わなければならない100ドルを示していて。

100ドルを支払うためにOTPを手に入れたので。

それが成功した試みであることに気づくことに。

 

そこで、値999を001に変更するとペイメントゲートウェイに$1が表示されて。

カードを使用して支払いを行った後に、$1を支払うためのOTPを取得したので。

同様に、金額の値を9999から0001に変更して。

4桁のドルの商品を1ドルで購入できて。

つまり、シナリオはサーバ側で検証が行われて。

金額の値ではなく、金額の桁数が検証されたというわけで。

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain