smith&hsu可以任意修改訂單金額 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2017-00795
  •  發信 Vendor: 御匯有限公司
  • Title: smith&hsu可以任意修改訂單金額
  • Introduction: 因沒做完整性驗證導致攻擊者可以任意修改訂單金額

處理狀態

目前狀態

公開
Last Update : 2017/11/19
  • 新提交
  • 已審核
  • 已通報
  • 未回報修補狀況
  • 未複測
  • 公開

處理歷程

  • 2017/09/19 21:55:53 : 新提交 (由 garytan 更新此狀態)
  • 2017/09/19 22:01:53 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2017/09/23 20:02:06 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2017/09/23 20:02:07 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2017/11/19 03:00:24 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2017-00795
  • 通報者:garytan (garytan)
  • 風險:低
  • 類型:其他 (Other)

參考資料

暫無資料
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

https://www.smithandhsu.com/tw/ordergotopay.php
https://trustlink.hitrust.com.tw/TrustLink/TrxReqForJava

敘述

因金額在傳輸的過程中沒有使用壓碼來進行資料完整性的校驗,導致攻擊者可以任意竄改結帳金額。
圖片
圖片
不只在smithandhsu.com金額傳輸的過程中可以竄改金額,在與信用卡金流服務商串接的時候亦可以竄改付款金額。
圖片
圖片

修補建議

1. 應使用雜湊演算法將傳輸的資料進行Hash壓碼,並在後端程式驗證所收到的資料用相同演算法進行 Hash 是否得到相同的結果,若有 Hash 數值不同,即可得知資料可能遭竄改。
2. 需查看信用卡金流服務商介接文件是否提供壓碼參數,並進行修改。

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;