Исследование системы по продаже билетов
Проблема: возможная нежелательная активность в системе продаже билетов комиссионерами по договору. Требуется провести анализ, выявить источник стороннего доступа в указанную систему, а также найти уязвимость, ввиду которой это случилось.
Результат экспертизы
Эксперты провели исследование функционирования системы по продаже билетов заказчика и выяснили, что подключение к ней других систем для осуществления продаж билетов комиссионерами по договору происходит через шлюзование ресурсов, подразумевающее сопряжение систем для возможности обмена данными.
Пользователю (комиссионеру) создается логин и авторизационный API-токен для идентификации при осуществлении запросов к базе данных. Доступ к системе возможен только при наличии действующего API-токена. Обмен информацией с системой осуществляется посредством использования программного интерфейса системы (API).
В базе данных системы имеется информация об отмененных билетах и о проданных билетах. Данные билеты (номер заказа, мероприятие, дата проведения, сектор, ряд, место, стоимость) полностью соответствуют билетам, реестр которых представлен на исследование.
Присвоение билету идентификатора в виде штрих кода осуществляется в процессе создания мероприятия и добавления мест в соответствии со схемой зала администратором сайта, а передача идентификатора (штрих кода) происходит только после получения системой статуса заказа (оплачен и выполнен), в ответ система возвращает корзину со всеми атрибутами билета, в том числе штрих код.