我正在测试一个接受无效信用卡号进行预订的网站。有趣的是,如果货币是美元,他们会进行 CC 验证,而不是任何其他货币。我应该将此报告为安全问题还是会受到欺诈管理?
接受无效的信用卡号是安全问题吗?
信息安全
信用卡
欺诈罪
2021-08-28 12:38:09
3个回答
我应该将此报告为安全问题还是会受到欺诈管理?
可能存在业务风险问题,您可以在安全性下记录该问题,但其重要性取决于业务。
你说网站
接受......预订的信用卡号码。
那些保留是为了什么?
如果是酒店房间,则欺诈的可能性有限,因为在办理入住手续时需要实际的卡。攻击者可能会试图通过用假卡封锁房间来影响服务,从而减少合法访问者可以保留的池,但我认为这是基于可扩展性和可持续性问题的一个小问题。
如果它是一家根据预购预订购买库存的游戏商店,那么该商店正在将实际资金扩大到库存游戏,然后他们可能会在没有买家的情况下陷入困境。这种业务更容易受到无效卡预订的威胁,因为它们将真正的美元投入到这些预订所表明的预期销售额中。
在其他业务中,“预订”在很大程度上毫无意义,这是一种鼓励客户参与且无需实际成本的方式。在这些情况下,业务影响可以忽略不计。
有趣的是,如果货币是美元,他们会进行 CC 验证,而不是任何其他货币。
这可能反映了对业务风险的接受程度。如果他们 99% 的预订是美元,那么接受无效的非美元卡预订的风险可以忽略不计。如果实施非美元验证有任何特定成本(来自处理器的费用?处理 if-then-else 分支的编码时间?),那么将其保留在 1% 的覆盖率是一个合理的选择。
可能存在您不知道的其他控制和业务流程来降低风险,例如通过不同的处理器验证信用卡,或致电持卡人。
在我参与的所有测试中,报告中总是有一部分列出了有趣的发现,但这不一定是安全问题。我希望这一发现会列在该部分中。
为什么您认为无效信用卡是安全问题或欺诈?应该预料到,用户有时会输入错误的卡号。我已经做到了。大多数人都做过。
如果您不打算在进入时验证卡,那么您将失去两件事:
- 立即更正错误输入的能力
- 确定是否是安全/欺诈问题的能力
我宁愿验证所有卡,也不愿担心我未验证的卡会被欺诈。