BOOK THIS SPACE FOR AD
ARTICLE ADEn este laboratorio vamos a explorar una vulnerabilidad crítica que surge de la falta de validación adecuada de las entradas del usuario en el workflow de compras de un sitio web. La meta será comprar una chaqueta de cuero “Lightweight l33t leather jacket” a un precio alterado.
Objetivo
- Comprar una chaqueta de cuero “Lightweight l33t leather jacket” manipulando la solicitud de compra.
Credenciales de Acceso
- Usuario: wiener
- Contraseña: peter
Paso a Paso
1. Ingreso al Sitio
Primero, ingresamos al sitio web utilizando las credenciales proporcionadas.
2. Selección del Producto
Una vez dentro, navegamos a la sección de productos y seleccionamos la chaqueta de cuero “Lightweight l33t leather jacket”.
3. Interceptación de la Solicitud
Utilizando Burp Suite, interceptamos la solicitud que se envía al servidor al agregar el producto al carrito. En esta solicitud, podemos observar el campo `price`:
4. Manipulación del Precio
Cambiamos el valor del campo `price` a un monto significativamente menor. Esta falta de validación en el lado del servidor permite que la modificación sea aceptada sin problemas.
5. Verificación del Carrito
Después de manipular el precio, verificamos el carrito de compras para asegurarnos de que el nuevo precio ha sido aplicado.
6. Finalización de la Compra
Procedemos a completar la compra seleccionando “place order”. Notamos que el sistema procesa la orden con el precio modificado, lo que confirma la explotación exitosa de la vulnerabilidad.
Conclusión
Este laboratorio ilustra cómo la falta de validación adecuada de las entradas del usuario puede llevar a serias vulnerabilidades en aplicaciones web. Es crucial implementar verificaciones robustas en el lado del servidor para prevenir tales exploits y proteger tanto a la empresa como a sus clientes.