ソース:
脆弱性:Business Logic
訳:
OWASP によると、ビジネス ロジックの脆弱性とは、組織に悪影響をもたらす方法でアプリケーションの正当な処理フローを使用する方法です。
- この特定のターゲットの電子商取引 Web サイトでは、合計 400 ドル以上の購入に対して 15% の即時割引が提供されます (利用規約が適用されます)。
- カートのしきい値である $400 に達するように、いくつかの商品をカートに追加しました。
- 15%割引クーポンが自動で追加されました。
- 最後のチェックアウト ページでは、追加されたすべてのアイテムが表示されます。
カートからアイテムを削除するオプションがありました。 - 大量のアイテムを削除し、カートの金額を約 120 ドルまで購入。
- 驚いたことに、クーポンはまだ有効で、カートの金額が 400 ドル未満であったにもかかわらず、15% の即時割引が提供されました。
- 私は 120 ドルで購入しましたが、請求書に従って割引が実際に適用されました。
- この脆弱性を電子商取引サイトのセキュリティ部門に報告したところ、重大度の高いバグとして評価されました。
ほなほな。
