根據三立新聞網報導,之前曾經惡搞臉書創辦人祖克伯帳號的網路玩家張啟元,最近意外發現國內多家購物網站都有一個漏洞,就是只要利用瀏覽器開發者模式,就能輕鬆在購買任何商品之後,修改成1元金額,然後順利支付取得商品。
根據報導,張啟元以iBon售票系統為例,利用這樣的方式取得五張義大遊樂世界的門票,但只需要1元。
張啟元說明,只要進去瀏覽器開發者模式,就可以修改成為任意金額,不過因為0元無法結帳,因此他才設定為1元。不過他懷疑假設設定為負數,再去利用悠遊卡結帳的話,說不定還會變成另類的儲值方式。
不過張啟元並不想從中得利,因此在第一時間已經通知了統一ibon售票系統,而工作人員也在第一時間先將系統離線進行修改。
在這篇報導中張啟元表示他其實還有測試很多其它國內的電商購物網站,利用同樣的手法都可以一路到結帳機制。
什麼是開發者模式?
大部分的瀏覽器都有開發者模式,基本上就是只要F12就可以進入到開發者模式。開發者模式主要是讓網頁開發人員,可以利用簡單的除錯工具,找到自己網頁中設計的錯誤。
為了快速除錯,你可以在開發者模式中修改網頁的資料。不過,這裡進行修改的網頁內容,都是在你的電腦上進行的,你也可以在這裡修改網頁文章的標題甚至內文,任意惡搞網頁,但是這裡(前端)發生的事情,都是在你電腦上發生的,與真正的網站無關。
而這次事情問題在於,當使用者在前端透過開發者模式修改了產品售價之後,這個資料傳回到後端(電商公司的系統),發現電商公司竟然沒有驗證從前端傳送回到後端資料的正確性,這個問題就顯得相當嚴重。
在報導中,張啟元有利用相同的辦法,嘗試過其它很多電商網站,那麼這些電商網站真的這麼不堪一擊嗎?其實也不一定,我們暫時還不用這麼恐慌。
因為你並不知道這些電商公司後台的安全機制設定在哪裡,報導中他並沒有真正進行到最終步驟結帳、取貨,因此電商公司還是有可能會有偵測到系統交易異常的狀況,去終止交易甚至去報警處理,只是因為這項測試還沒有進行到比對交易異常的那一步而已。
但是這種現象還是讓人覺得很疑惑,驗證前端回傳的資料很困難嗎?為什麼這麼多電商網站都不設驗證的機制呢?
資料來源:三立新聞網
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!