某所から、簡易決済サイトを使って、サービスを提供したいとの連絡があり、簡易決済サイトを調査させていただきました。（決済サイトは了承済み）
確かに、SSLは掛かっています。でも、オレオレ証明書です。
お客様はケータイで使われたいとのことなので、オレオレ証明書を使っている以上、決済することは出来ません・・・。
突っ込んで調べると、111/TCP が開いてます。決済手続きで使用すると思われるPHPのバージョンも割と低い感じです。
通信を色々と見ていると、CGIはPOSTではなくGETで送っている模様・・・。
インジェクションチェックしてみると、色々と見えてきて楽しいことに。
そんな状況ではありますが、この決済サイトは割と有名らしい。
お客様の担当者も、この決済サイトを是非使いたいとのことで、私に無理矢理OKな結果を出すように迫ります。
私は、どのような報告書を出せばよいでしょうか・・・。
＃クレジットカードを入力した結果が、決済サイトの運営者にメールで送られていることも確認済みだったり。
私的には、こんな決済サイトを使ってサービスを提供している企業とは、おつきあいしたくないんですが。