三年前,我对一个大型电子商务网站进行了安全审核。在执行审计时,我发现了几个严重的安全问题,这些问题允许访问在事务完成后不应访问的数据。在此站点上,存在几个主要风险。首先,您可以实时查看系统中的订单;所有交易均由该公司手动处理。如果您查看交易,则可以看到名称,地址和运送目的地。我在这里看到两个滥用点:1 –您可以简单地编辑船的地址并将其发送给自己; 2 –您可以在下订单时立即致电用户,并进行“电话确认”以简单地访问使用基本的社会工程学获取信用卡信息。
您还可以通过做更多的工作来转储抄送信息和订单ID号,然后简单地将订单ID和用户信息进行匹配。
所有这些都可以通过在其站点上使用公开的功能并修改几个值来实现。是的,我由于某种原因含糊不清。
该公司的市场总监三年前就被警告过这些风险,并且没有采取任何纠正措施。我毫不怀疑,如果我能找到其他人也可以。该网站每年进行88K笔交易,所有已处理的订单仍在数据中并且可以访问。
所以是道德问题……我该怎么办?我的公司不在乎……所以我在那里找不到帮助。如果我与营销人员联系,他将继续掩盖自己的资产以及他们无能为力的内部开发团队(冷融合)的资产。我会联系更高的人吗?我会四处逛逛吗?我是否只是挖掘数据并将其出售给竞争对手(减去CC信息)?我知道些什么?它在me我,我不能放手。这只是我所知道的众多站点之一,但是便捷的访问和高流量使我对此深思。
The marketing director at this company was warned about these risks three years ago
嗯...这家公司没有应报告的CTO或CIO吗?市场营销总监不应该是负责IT的人。