アイ・ディフェンス・ジャパンからの情報によると、Per Magne KnutsenのCartmanショッピングソフトウェアは、価格のリモート操作が可能であるため、攻撃者が任意の価格でアイテムを購入することができる。CartManは、カートにアイテムを追加する際に、「cartman.php?action=add&id=1234&descr=My%20Product&price=250&quantity=1」というサンプルURLを使用する。攻撃者は、このような要求を手動操作で簡単に生成し、価格パラメーター (上記URLでは(price=250) を任意の数に設定することができる。以下の書き換えられたURLは、定価250ドルの "My Product" アイテムを、価格1ドルのアイテムとして攻撃者のカートに追加する。※この情報はアイ・ディフェンス・ジャパン ( http://www.idefense.co.jp/ )より提供いただいております。 アイディフェンス社の iAlert サービスについて http://shop.vagabond.co.jp/p-alt01.shtml 情報の内容は以下の時点におけるものです 【10:50 GMT、11、25、2002】
