雨が酷く、湿度が75%を越える状態で蒸し暑く、ちょっとたまらないので、除湿器&冷風機能付きを捜していた。
エアコンは取り付け費用が色々とかかるし、めんどくさいので。。
結局候補に挙がった物は、コロナ/corona どこでもクーラー CDM-107 というもので、3万円弱。
そこで、ネットショップを捜したのだが、金額の比較サイトから辿り、安価な店舗でオンライン注文を行い、ショッピングカートに入れた。そのときにPOSTされている内容に気付いたのだが、HTML側のhiddenに金額が書いてあり、それをいじって、カートにいれると、その金額で決済が出来てしまう。決済はクレジットカードやセブン払い等、色々とできるのだが。。これらのシステムに最終的に直結し、支払いまでオンラインで一括で行われるようだ。。
どこのサイトかはあえて書かないが、数社のオンラインショップで同じCGIが使われているのが判った。。特に安さで競っているサイトですが。
本当は、CSVや、DBにデータが入っており、商品番号をクリックすると、商品IDをベースに、ショッピングカートに金額を入れるのが正しいはずなのだが、この金額はhiddenに入っており、POSTするときに、hiddenに記載された金額がそのまま入ってしまう。そのまま、偽った金額で決済出来てしまうところが恐ろしい。。
これは、単なる使用上のバグなのだが、脆弱性に該当するのだろうか・・・。
2007.07.17追記
以下のASPも危険だな。。。金額手で入れれるタイプだ。
google様で「
hidden 金額 ショッピングカート」で検索すると、そうやっているASPサービスとかたくさん引っかかるようだ。無論、この日記がTOPですが(笑)