<div dir="ltr"><div><div>That said, if the shipment matetialized, then it would be a different story. Happy shopping!<br><br></div>I think in their system they have this test data which does not react to the 'shipping procedure' and thats the reason why they did not consider it a bug, but I haven't tested other kind of validation issues with credit cards and I just wonder if this could be the case.<br><br></div>In the mean time is fun to shop and fantasize I have an unlimited credit card ;-)<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Aug 27, 2015 at 10:41 AM, Yolanda Baker <span dir="ltr"><<a href="mailto:yolybaker@gmail.com" target="_blank">yolybaker@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Joanna,<div><br></div><div>I agree with John, Owen, and Giorgio about the scope or criticality of the bug.</div><div><br></div><div>That said, if the shipment matetialized, then it would be a different story. Happy shopping!</div><div><br></div><div>Regards,</div><div>YolandaBakerUS<div><div class="h5"><span></span><br><br>On Thursday, August 27, 2015, Owen Pendlebury <<a href="mailto:owen.pendlebury@owasp.org" target="_blank">owen.pendlebury@owasp.org</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div>Hi Joanna,<br><br></div>Yeah it is generally considered best practice to remove test data before deploying to production.<br><br></div>I've seen this a few times and have been told that there are business processes in the back-end that will stop it from going through. A bit silly if you ask me, remove test data or spend a long time verifying card numbers. <br></div><div class="gmail_extra"><br clear="all"><div><div><div dir="ltr"><div><div dir="ltr"><div>Owen Pendlebury<br></div>OWASP Ireland-Dublin Chapter Lead<br><a href="https://www.owasp.org/index.php/Ireland-Dublin" target="_blank">https://www.owasp.org/index.php/Ireland-Dublin</a><br></div></div></div></div></div>
<br><div class="gmail_quote">On 27 August 2015 at 14:47, johanna curiel curiel <span dir="ltr"><<a>johanna.curiel@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div><div><div><div>Hi all<br><br></div>I woudl like to have your opinion on an issue I found during a bug hunting activity<br><br></div>A major email provider has a their own store for selling branded t-shirts, pen, etc.<br><br></div>I attempted to buy using a test credit card number. I was able to get a confirmation and final transaction with a value of USD2000. <br><br></div>When I reported the issue, they mentioned to me they did not consider this as a vulenrability. I have always understand that deploying to production should not contain test data that attackers could use to bypass the system.<br><br></div>What kind of vulnerability can this be considered if we can consider it a vulnerability?<br><br></div>regards<span><font color="#888888"><br><br></font></span></div><span><font color="#888888">Johanna<br></font></span></div>
<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a>OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>
</blockquote></div></div></div><span class="HOEnZb"><font color="#888888"><br><br>-- <br>Sent from Gmail Mobile<br>
</font></span></blockquote></div><br></div>