三年前,我对一个大型电子商务网站进行了安全审计。执行审计时,我发现了几个严重的安全问题,这些问题允许访问在事务完成后不应访问的数据。在这个网站上有几个主要的风险。首先,您可以实时看到通过系统传入的订单;所有交易均由该公司手动处理。如果您查看交易,您可以看到姓名、地址和送货目的地。我在这里看到两个滥用点,1 – 您可以简单地编辑发货地址并将货件发送给您自己,以及 2 – 您可以在下订单时立即致电用户并进行“电话确认”以获得访问权限到具有基本社会工程学的信用卡信息。
您还可以多做一点工作,转储 CC 信息和订单 ID 号,然后简单地匹配订单 ID 和用户信息。
这一切都是通过在他们的网站上使用公开的函数并修改几个值来实现的。是的,我含糊其辞是有原因的。
这家公司的营销总监三年前就被警告过这些风险,但没有采取任何措施来纠正这些风险。我毫不怀疑,如果我能找到这个,其他人也能找到。该站点每年进行 88,000 次交易,并且所有处理过的订单仍处于数据中并可访问。
那么道德问题……我该怎么办?我的公司不在乎……所以我无法在那里获得帮助。如果我联系营销人员,他将继续掩饰他的屁股和他们无能的内部开发团队(冷聚变)的屁股。我会联系更高的人吗?我会去我的公司吗?我是否只是挖掘数据并将其出售给竞争对手而不是 CC 信息?知道这些我该怎么办?它对我唠叨,我不能放手。这只是我所知道的众多网站之一,但访问的便利性和高访问量让我对此深思熟虑。
untagged ×1