asp.net - Price hacked on Ecom site

Question

I have an ecom website, where we sell sports goods. From 1 month i have noticed a suspicious activity on my site. Some guy registers into my site with some junk details, then he logs in and dose a cash on delivery(COD) transaction, then he just logs off. But problem here is that he buy a product of worth 1000+ for just 90 Rs/200 Rs. I am quite sure he is playing around my data.

For Example:
For our convenience let the guy be SAM.

So SAM register into site and logs in. Then he browse to the product page, product details are: Product name: ADIDAS MASTER CRICKET BAT
Product price: 11,000 Rs Then he add this product to cart. Fill his shipping details. Proceed to order process page and select payment type as cash on delivery(COD). Next he lands on order success page, where he get summery of his transactions. By this time order is ready to process and shipped. But when we check our db for the order details we find order amount is 99 Rs/ 200 Rs. I am not sure where and how he is playing around data. We are using sessions to store all the transactions details. Our website is developed on asp.net 3.0v.

Please help in finding out how and where he is trying to tamper data.

Thank you for your help, but still need some more help

Thank you all for your help, i found the glitch on my website. We where using hidden fields in the cart page which helped the hacker to tamper our data. But now i wish to replace hidden fields with some secure one. Can somebody please help me with this.

FYI i my website is build on ASP.NET 3.0V.

Answer 1

Web ブラウザーまたはユーザーを信頼することはできません。

これには、Cookie データ、セッション データ、ローカル ストレージ、フォーム内のデータ、Javascript 内の計算、ユーザーからのあらゆるものが含まれます。

ユーザーは control-shift-J を押すか、ほとんどのブラウザーでメニューを使用してデバッグ コンソールに移動し、フォームや JavaScript の非表示部分を含む Web サイト上のあらゆるものを表示または変更できます。

したがって、ユーザー データからは、ユーザーが注文したいもののリストのみを受け入れることができます。これらの価格は、ブラウザではなく、サーバー上にあり、サーバー上で計算する必要があります。

Answer 2

原因はいくつか考えられますが、ウェブサイトのコードを調べてみないと真の原因はわかりません。

最善の策は、専門家を雇って Web サイトの侵入テストを行い、セキュリティ ホールを修正することです。

これらをご覧ください

https://www.owasp.org/index.php/Web_Parameter_Tampering
h__ttp://www.iss.net/threats/advise42.html
http://www.mhprofessional.com/downloads/products/0071740643/01-ch01.pdf

Answer 3

Web アドレスにそのままの製品価格を掲載していないことを確認してください。これにより、改ざんが容易になります。安全な HTTPS サイトの使用を検討してください。配送先住所が無効なため、サイトをこれ以上テストできませんでした。

少なくとも、リンクで説明されている情報 (隠しフィールドに情報を保存する危​​険性) がいくつかあり、その人があなたのサイトをどのように侵害しているかを把握できます。

Answer 4

これは、検証を考慮せずに Web サイトを設計したためです。実際の方法は、開いたままにしている抜け穴によって異なります。彼がカートに何かを追加するときのように、データベースから価格を再度取得するのではなく、投稿されたページからアイテムの価格を取得する場合があります。見つける最善の方法は、自分で試してみることです [侵入テスト]。見つけられない場合は、サイトへのリンクを投稿して、他の人が問題を調べることができるようにすることができます（あなた自身の裁量で）. データベースの価格が正しいため、SQL インジェクションはここでは当てはまらないと思います。

Answer 5

ウェブショップの開発者に連絡する必要があります。サイトが改ざんされないようにするのは彼の責任です。自分で作成した場合: しないでください。専門家によって作られた評判の良いウェブショップを使用してください。

私の国では、99 Rs でその製品を販売することは、ほとんどの場合、違法である購入価格よりも低い価格で販売することを意味するため、この販売はおそらく無効です。しかし、もちろんあなたの国については知りません。