3年前私は大規模なeコマースウェブサイトのセキュリティ監査を行った。監査が実行されたときに、トランザクションが完了した後にアクセスできないデータへのアクセスを可能にする重大なセキュリティ問題がいくつか見つかった。このサイトにはいくつかの大きなリスクがあります。まず、システムを介して注文がリアルタイムで受信されていることがわかります。すべてのトランザクションはこの会社によって手動で処理されます。取引を見ると、名前、住所、配送先がわかります。私はここに2つの虐待ポイントがあることを知っています。1 - あなたは船を編集して自分宛に発送してもらうことができます.2 - あなたは注文があったときにユーザーに電話し、簡単にアクセスできる基本的なソーシャルエンジニアリングのCC情報へ。セキュリティ倫理の非開示
また、cc情報と注文ID番号をもう少しダンプして、注文IDとユーザー情報を単純に一致させることもできます。 これは、サイト上の公開された関数を使用し、2つの値を変更することによるものです。はい、私は理由であいまいです。
この会社のマーケティングディレクターは、3年前にこれらのリスクについて警告され、修正するために何もしていませんでした。私は他の人がこれを見つけることができるかどうかは疑いがない。このサイトは年間88K件のトランザクションを処理しており、これまでに処理されたすべての注文がまだデータとアクセス可能な状態で処理されています。
倫理的な質問...私は何をしますか?私の会社は気にしないので、私はそこで助けを得ることができません。マーケティング担当者に連絡すれば、彼は自分のお尻と無能な内部開発チーム(風邪の融合)のお尻をカバーし続けるだけです。私は誰かに連絡しますか?私は私の会社を回っていますか?私はデータを掘り出して、それを競合他社に差し込んでcc情報をマイナスしますか?私はこれを知っていますか?私のそばにいると私はそれを行かせることはできません。これは私が知っている多くのサイトのうちの1つに過ぎませんが、アクセスが簡単でトラフィックが多いので、これについて多くのことを熟考しています。
私は、プログラミングではなくプログラマを対象にしているため、この質問を議論の対象外としています。 – gunr2171