Hello there, ('ω')ノ
ビジネス ロジックの脆弱性を。
脆弱性:
ビジネス ロジックの欠陥
支払いの改ざん
記事:
https://sagarsajeev.medium.com/business-logic-vulnerabilities-b4db2af08aaf
今回は、興味深いビジネス ロジックの欠陥を見つけたので共有したいと。
OWASP によると、ビジネス ロジックの脆弱性は。
アプリケーションの正当な処理フローを使用して、組織に悪影響を与える方法で。
見つけた方法:
1.この特定のターゲット E コマース Web サイトでは。
合計 400 ドル以上の購入に対して 15% の即時割引が提供されて。
2.カートの値が 400 ドルのしきい値に達するように製品をカートに追加して。
3.15% 割引クーポンが自動的に追加されて。
4.最後のチェックアウト ページで、追加されたすべてのアイテムが表示されて。
彼らはカートからアイテムを削除するオプションを持っていて。
5.たくさんのアイテムを削除し、カートの値を約 120 ドルまで下げて。
6.驚いたことに、クーポンはまだ有効で。
カートの金額が $400 未満だったにもかかわらず、15% の即時割引が提供されて。
7.$120 で購入しましたが、請求書によると実際に割引が適用されていて。
8.この脆弱性を E コマース サイトのセキュリティ部門に報告し。
重大度の高いバグとして評価されて。
ヒント:
ほとんどの場合、Logic の脆弱性は独自の方法で独自のものになるので。
最善のアプローチはアプリケーション ロジックを壊す可能性のあるものを試すことで。
アプリケーションの機能が明らかだと思われる場合は。
悪意のあるユーザが何をどのように悪用できるかを考えてみて。
Best regards, (^^ゞ