رایتاپ Price Tampering شماره ۱
سلام.من بهروز منصوری هستم و قراره در رایتاپ Price Tampering شماره ۱ به شما روش جالبی برای دور زدن فرایند خرید آموزش دهم.
توضیح فرایند جستجو
من یک محصول را در سبد خرید اضافه کردم و درخواست را به burp منتقل کردم.
درخواست را به repeater ارسال کردم و قیمت را از حدود 200 روپیه به INR 2 و سپس به INR 20 تغییر دادم.
و بعد وقتی سبد خرید رو چک کردم قیمت عوض شد 😀
صفحه را رفرش کردم و سپس دوباره به صفحه سبد خرید رفتم، اما همچنان قیمت تی شرت فقط 2 روپیه بود. 😆
به طور تصادفی، burpsuite و مرورگر را بستم بنابراین سعی کردم آسیب پذیری را تکرار کنم اما این بار نتوانستم قیمت را دستکاری کنم.
من بارها و بارها از ساعت 8:30 شب تا 1:30 بامداد به تلاش ادامه دادم اما نتوانستم آسیب پذیری را تکرار کنم.
می خواستم لپ تاپ را خاموش کنم اما یک ایده به ذهنم رسید.
بنابراین، این بار تصمیم گرفتم قیمت را با یک شرط دستکاری کنم.
من یک محصول اضافه کردم، اما قیمت آن را دستکاری نکردم.
قیمت واقعی آن محصول 2600 INR بود.
سپس من یک بار دیگر همان کالا را در سبد خرید اضافه کردم اما این بار درخواست را در burp دستکاری کردم و پارامترها را از 2600 INR به 100 INR تغییر دادم و BOOM کار کرد. 🙂
منطق وب سایت:
سایت فقط زمانی اجازه دستکاری قیمت را می داد که شما آن کالا را در سبد خرید داشته باشید و یک بار دیگر آن محصول را اضافه کرده و آن را دستکاری کنید.
به عبارت ساده، اگر میخواهید قیمت کالایی را دستکاری کنید، داشتن یک محصول از همان نوع در سبد خرید الزامی است و پس از آن میتوان قیمت کالای بعدی از همان نوع را دستکاری کرد.
این رایتاپ Price Tampering شماره ۱ بود و قطعاً در آینده رایتاپ های بیشتری رو در این زمینه قرار خواهم داد.
اگر دوست داری وارد حوزه باگ بانتی بشه و شروع به گزارش باگ کنی دوره کلوپ امنیت ۱ و دوره کلوپ امنیت پیشرفته رو از دست نده.
