<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>Looks like it's validating the Lhun format but no business logic.</div><div><a href="https://en.m.wikipedia.org/wiki/Luhn_algorithm">https://en.m.wikipedia.org/wiki/Luhn_algorithm</a></div><div><br><br>Eoin Keary<div>OWASP Volunteer</div><div>@eoinkeary</div><div><span style="font-size: 13pt;"><br></span></div><div><br></div></div><div><br>On 27 Aug 2015, at 14:47, johanna curiel curiel <<a href="mailto:johanna.curiel@owasp.org">johanna.curiel@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr"><div><div><div><div><div><div><div>Hi all<br><br></div>I woudl like to have your opinion on an issue I found during a bug hunting activity<br><br></div>A major email provider has a their own store for selling branded t-shirts, pen, etc.<br><br></div>I attempted to buy using a test credit card number. I was able to get a confirmation and final transaction with a value of USD2000. <br><br></div>When I reported the issue, they mentioned to me they did not consider this as a vulenrability. I have always understand that deploying to production should not contain test data that attackers could use to bypass the system.<br><br></div>What kind of vulnerability can this be considered if we can consider it a vulnerability?<br><br></div>regards<br><br></div>Johanna<br></div>
</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>OWASP-Leaders mailing list</span><br><span><a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a></span><br><span><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></span><br></div></blockquote></body></html>