その他 > その他 > 2.17.1 怪しい新会員登録の解決(クレジットマスター攻撃) |
その他
スレッド表示 | 古いものから | 前のトピック | 次のトピック | 下へ |
投稿者 | スレッド |
---|---|
kazz_oga |
投稿日時: 2020/7/29 17:40
対応状況: 確認中
|
一人前 登録日: 2013/8/5 居住地: 東京都北区赤羽西 投稿: 144 |
2.17.1 怪しい新会員登録の解決(クレジットマスター攻撃) ▼テンプレート
[EC-CUBE] 2.17.1 [レンタルサーバ] ローカル [OS] MacOS 10.15.5 [PHP] 7.4 [データベース] MySQL 5.7 [WEBサーバ] apache 2.4 [ブラウザ] safari [導入プラグインの有無] EC-CUBEペイメント決済モジュール(2.13系)Version.4.3.32 [現象] ・会員登録後、Myページ>カード情報編集(change_card.php)に繰り返しアタック - 会員の登録情報は、住所が愛知なのに電話番号が03など怪しい ・仮会員登録機能で一時的には収まったが、数日後アタック開始 ・カード情報編集(change_card.php)へのアタックなので、クレジットマスター攻撃とみられる 「このカード番は号使えるかな?』とチェックをしている攻撃 [対策] EC-CUBEペイメント決済モジュール(2.13系)Version.4.3.32では、時間あたりのアクセスエラー回数を設定することで該当IPアドレスからのchange_card.phpの利用をロックする。 <2.17> 該当のロック機能のメニューが出てこない。 当サイトでは翌日該当するIPアドレスを.htaccessでアクセス拒否。 実態はイタチごっこで効果的でない <2.17.1> 該当のロック機能のメニューが出てきたので、ロック機能を設定 ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ <2.13>では設定メニューは出ているようですが(提供元に確認)、<2.17>では出ていなかった。 debagerでトレースすると<2.17.1>の修正で出るようになったように見えます。 <2.17.1>への移行動機になると思いますので、報告しておきます。 |
スレッド表示 | 古いものから | 前のトピック | 次のトピック | トップ |