気にしすぎ？

外部が作ったECサイトの中で
商品カートが商品を入れる時に
フォームからhiddenで商品IDだけじゃなくて
送料や値段とかまで送信して
それをカートにいれる処理になってて
それで決済まではしないまでも
それで注文メールは送れちゃうっぽいんですが…

これ、値段書き換えられちゃいますよね
いいんですかね…そういうのは想定しなくて…

DBの値との照合もしてないっぽいし…

もう連絡つかない外部らしいので
なんも言えないんですが…

指摘はしといたほうがいいですかね…？

行動規範の内容に同意します

回答2件

ベストアンサー

例えば全パラメータ連結ハッシュを渡して検証しているとかであれば大丈夫ですが、値が攻撃者によって書き換えられていない事を保証できないのであれば指摘するべきですね。
そのままだといつかその値を誰かが決済に利用する改修をして、重大な障害が発生する可能性があるのでは？
ヒヤリハット事案かと思います。

投稿2015/10/27 13:14

退会済みユーザー

総合スコア0

KazuhiroHatano

2015/10/27 13:34

回答ありがとうございます実際に稼働しているサイトの孫請け案件なので安易に動作検証はできないため、追いきれてないところでもしかしたら検証してくれているかもしれない希望もこめて、とりあえず攻撃の検証をするように忠告してみますグローバルスコープでユーザ入力をEXTR_SKIPなしでextractしてるし 6年前のものとはいえmysql関数使ってるしold_passwordはonだしなんかいろいろ不安にさせるECサイトです…

行動規範の内容に同意します