バージョン選択

フォーラム

メニュー

オンライン状況

37 人のユーザが現在オンラインです。 (26 人のユーザが フォーラム を参照しています。)
登録ユーザ: 1
ゲスト: 36
coremobile もっと...

サイト内検索

その他 > その他 > 2.17.1 怪しい新会員登録の解決(クレジットマスター攻撃)

その他

新規スレッドを追加する

スレッド表示 | 新しいものから 前のトピック | 次のトピック | 下へ
投稿者 スレッド
kazz_oga
投稿日時: 2020/7/29 17:40
対応状況: 確認中
一人前
登録日: 2013/8/5
居住地: 東京都北区赤羽西
投稿: 127
2.17.1 怪しい新会員登録の解決(クレジットマスター攻撃)
▼テンプレート
[EC-CUBE] 2.17.1
[レンタルサーバ] ローカル
[OS] MacOS 10.15.5
[PHP] 7.4
[データベース] MySQL 5.7
[WEBサーバ] apache 2.4
[ブラウザ] safari
[導入プラグインの有無] EC-CUBEペイメント決済モジュール(2.13系)Version.4.3.32 

[現象]
・会員登録後、Myページ>カード情報編集(change_card.php)に繰り返しアタック
 - 会員の登録情報は、住所が愛知なのに電話番号が03など怪しい
・仮会員登録機能で一時的には収まったが、数日後アタック開始
・カード情報編集(change_card.php)へのアタックなので、クレジットマスター攻撃とみられる
  「このカード番は号使えるかな?』とチェックをしている攻撃

[対策]
EC-CUBEペイメント決済モジュール(2.13系)Version.4.3.32では、時間あたりのアクセスエラー回数を設定することで該当IPアドレスからのchange_card.phpの利用をロックする。
<2.17> 該当のロック機能のメニューが出てこない。
    当サイトでは翌日該当するIPアドレスを.htaccessでアクセス拒否。
    実態はイタチごっこで効果的でない
<2.17.1> 該当のロック機能のメニューが出てきたので、ロック機能を設定
       ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

<2.13>では設定メニューは出ているようですが(提供元に確認)、<2.17>では出ていなかった。
debagerでトレースすると<2.17.1>の修正で出るようになったように見えます。

<2.17.1>への移行動機になると思いますので、報告しておきます。
スレッド表示 | 新しいものから 前のトピック | 次のトピック | トップ


 



ログイン


EC-CUBEペイメント

公式ストアEC-CUBE4系デザインテンプレート続々リリース中

統計情報

総メンバー数は67,550名です
総投稿数は98,928件です

投稿数ランキング

1
seasoft
7333
2
AMUAMU
2712
3
468
2703
4
nanasess
2116
5
umebius
1793
6
yuh
1612
7
red
1427
8
h_tanaka
1053
9
fukap
907
10
tsuji
863
11
shutta
835
12
tao_s
792
13 ramrun 789
14 karin 657
15 sumida 641
16
homan
633
17 DELIGHT 571
18
patapata
502
19
flealog
485
20 tonton 437


ネットショップの壺

EC-CUBEインテグレートパートナー

Copyright© EC-CUBE CO.,LTD. All Rights Reserved.