ECサイトセキュリティ

WordPressで起こるビジネスロジック脆弱性まとめ|認証バイパス・価格改ざん・クーポン不正の実例

vivisec
WordPressで起こるビジネスロジック脆弱性まとめ|認証バイパス・価格改ざん・クーポン不正の実例

WordPressのセキュリティというと、SQLインジェクションやXSSなどの技術的な脆弱性が注目されがちです。 しかし実際の攻撃では、仕様や設計のミスによって発生する「ビジネスロジック脆弱性」も多く利用されています。 … 続きを読む

WordPressで考える Infinite money logic flaw|クーポンと残高が増殖するロジック脆弱性

vivisec
WordPressで考える Infinite money logic flaw|クーポンと残高が増殖するロジック脆弱性

今回は、Web Security Academyの 「Infinite money logic flaw」 というラボを解説します。 このラボでは、購入の流れそのものは一見正常に見えるのに、割引されたギフトカードを買って … 続きを読む

WordPressで考える Flawed enforcement of business rules|クーポン割引が無限に使えるロジック欠陥

vivisec
WordPressで考える Flawed enforcement of business rules|クーポン割引が無限に使えるロジック欠陥

今回は、PortSwiggerのWeb Security Academyにあるラボ「Flawed enforcement of business rules」を解説します。 このラボでは、ECサイトのクーポン割引の処理ロ … 続きを読む

WordPressで考えるECサイト購入フローの脆弱性|Insufficient workflow validation

vivisec
WordPressで考えるECサイト購入フローの脆弱性|Insufficient workflow validation

※本記事にはアフィリエイトリンクが含まれています。 今回解説するのは、Web Security Academyのラボ 「Insufficient workflow validation」 です。 このラボでは、ECサイト … 続きを読む