Wat ik ervan begrepen heb is dat de totaalprijs van de bestelling in een hidden input field werd gezet midden in de HTML. Dit is een vrij grove fout. Om die reden vind ik ook, dat niet de studenten het 'misgelopen' geld moeten terugbetalen, maar de ontwikkelaars van de betalingsmodule dit moeten doen.
Even voor de record: Dit is mijn mening. Ik weet zelf ook wel dat de ontwikkelaars zichzelf beschermen na oplevering. Ik doe dat zelf tenslotte ook!
Geen van beide komen van mij, maar ik ben eht er wel mee eens dat de tool in dit geval vrij irrelevant was. Dit was geen configuratie- of infrastructureel probleem, maar gewoon een brak geprogrammeerde shopping cart. Dat has geen Nessus eruit gehaald, auto of gewoon.
Het onderwerp van dit topic is "Laat hackers je betalingssysteem testen". Als Melchior vervolgens verwijst naar een bedrijf die dit actief doet, is het juist wel relevant.