불충분한 인증 - 타인의 금액충전 계정으로 내 카드 충전.

타인의 금액충전 계정으로 내 카드금액 충전 하기.

금액충전 부분에 본인계정/카드정보를 입력 후 등록을 한다.

 

응답값에 “value =”e34” -> 타 계정/카드번호인 “c39”로 변경한다.

 

DB소스코드를 확인한 결과 금액충전 부분에서 아무런 검증을 하지않고 단순히 사용자의 ID값만 확인하는 것을 알 수 있다.

 

충전할 금액을 입력 후 요청값을 확인 한 결과 credit라는 파라미터값에

타 계정으로 변경 된 것을 알 수 있다.

그 결과 타인계정으로 금액충전이 성공한 것을 알 수 있다.