<div dir="ltr"><div><div>Hi Joanna,<br><br></div>Yeah it is generally considered best practice to remove test data before deploying to production.<br><br></div>I've seen this a few times and have been told that there are business processes in the back-end that will stop it from going through. A bit silly if you ask me, remove test data or spend a long time verifying card numbers. <br></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div>Owen Pendlebury<br></div>OWASP Ireland-Dublin Chapter Lead<br><a href="https://www.owasp.org/index.php/Ireland-Dublin" target="_blank">https://www.owasp.org/index.php/Ireland-Dublin</a><br></div></div></div></div></div>
<br><div class="gmail_quote">On 27 August 2015 at 14:47, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div><div><div><div>Hi all<br><br></div>I woudl like to have your opinion on an issue I found during a bug hunting activity<br><br></div>A major email provider has a their own store for selling branded t-shirts, pen, etc.<br><br></div>I attempted to buy using a test credit card number. I was able to get a confirmation and final transaction with a value of USD2000. <br><br></div>When I reported the issue, they mentioned to me they did not consider this as a vulenrability. I have always understand that deploying to production should not contain test data that attackers could use to bypass the system.<br><br></div>What kind of vulnerability can this be considered if we can consider it a vulnerability?<br><br></div>regards<span class="HOEnZb"><font color="#888888"><br><br></font></span></div><span class="HOEnZb"><font color="#888888">Johanna<br></font></span></div>
<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>