Shikata Ga Nai

Private? There is no such things.

Business logic vulnerabilitiesを訳してみた

Hello there, ('ω')ノ

 

ビジネス ロジックの脆弱性を。

 

脆弱性:

 ビジネス ロジックの欠陥

 支払いの改ざん

 

記事:

 https://sagarsajeev.medium.com/business-logic-vulnerabilities-b4db2af08aaf

 

今回は、興味深いビジネス ロジックの欠陥を見つけたので共有したいと。

OWASP によると、ビジネス ロジックの脆弱性は。

アプリケーションの正当な処理フローを使用して、組織に悪影響を与える方法で。

 

見つけた方法:

1.この特定のターゲット E コマース Web サイトでは。

 合計 400 ドル以上の購入に対して 15% の即時割引が提供されて。

2.カートの値が 400 ドルのしきい値に達するように製品をカートに追加して。

3.15% 割引クーポンが自動的に追加されて。

4.最後のチェックアウト ページで、追加されたすべてのアイテムが表示されて。

 彼らはカートからアイテムを削除するオプションを持っていて。

5.たくさんのアイテムを削除し、カートの値を約 120 ドルまで下げて。

6.驚いたことに、クーポンはまだ有効で。

 カートの金額が $400 未満だったにもかかわらず、15% の即時割引が提供されて。

7.$120 で購入しましたが、請求書によると実際に割引が適用されていて。

8.この脆弱性を E コマース サイトのセキュリティ部門に報告し。

 重大度の高いバグとして評価されて。

 

ヒント:

ほとんどの場合、Logic の脆弱性は独自の方法で独自のものになるので。

最善のアプローチはアプリケーション ロジックを壊す可能性のあるものを試すことで。

アプリケーションの機能が明らかだと思われる場合は。

悪意のあるユーザが何をどのように悪用できるかを考えてみて。

 

Best regards, (^^ゞ