そのクーポン機能は不正利用を防げる実装ですか？ - Webサービスにおけるクーポン機能の仕様とセキュリティ観点 - Flatt Security Blog

こんにちは。株式会社Flatt Securityセキュリティエンジニアの村上です。セキュリティ・キャンプ卒業後、新卒入社組としてFlatt Securityでセキュリティエンジニアをしています。 本稿では、BtoCのWebサービスにおいてマーケティング施策として頻繁に発行される「クーポンコード」及び「クーポン機能」のセキュリティ観点について考えたいと思います。様々なサービスが題材として考えられますが、今回はECサイトなどを例に解説していきます。 クーポン機能は割引やポイントの付与など直接的に金銭的な影響に繋がりますが、Googleなどで検索してみると分かる通りどのような対策をすれば良いのかという情報はほとんど知られていません。そこで今回は、クーポン機能を設計・実装する上でSQL Injectionなどの典型的な脆弱性以外でどのような点に気をつければ良いのかについて解説を行います。 Flat

[masatomo-m]

こういうビジネスロジック上の「仕様の悪用」もセキュリティの範疇に入れるとセキュリティの考慮するスコープがさらに広がるな。もちろん大事な観点ではあるのは確か

[const]

うーん、未利用の条件を付けて利用済に更新してクエリの処理件数を確認すれば(明示的な)ロックは不要だと思うがなあ。詳しく知りたい。

[rrringress]

クーポン使われること自体が売り手にとって利益なことがほとんどなので、ここの堅牢性へどこまで投資したいかは疑問。

[takuya_1st]

それは、情報セキュリティなのか？

[yasu-osu]

良い設計には論理性だけではなく想像力も欠かせません。エンジニアが対象のビジネスドメインに対する関心をどこまで寄せられるか、これから問われる場面が増えると思います。

[nanakoso]

クーポンじゃないが、DyDoのSmyle STANDのポイント交換システム。不正利用のアナウンスとともに止まって以来まだ復活しない

[tmyk_kym]

整理されていて読みやすい．そしてあるある〜．