[burp suite] Excessive trust in client-side controls

LAB :

This lab doesn't adequately validate user input. You can exploit a logic flaw in its purchasing workflow to buy items for an unintended price. To solve the lab, buy a "Lightweight l33t leather jacket".

You can log in to your own account using the following credentials: wiener:peter

 

Lightweight l33t 가죽 재킷 구입 

ID : wiener

PW : peter

 

LAB 해결 전 간단한 실습 

Access the lab 클릭 시 사이트에 접근이 가능

"Lightweight l33t" 제품을 구매해야 하지만 All-in-One 제품을 통해 먼저 실습

View detalls <-- Enter

1. burp -> Intercept is on(켜진 상태) ->Add to cart 클릭

html 바디 부분 price = 7052 -> 100으로 변경

장바구니에서 가격을 확인하고 주문을 하면 아래 사진처럼 1달러로 표시되는 것을 확인 가능

반응형

LAB Solution

장바구니에 담는 사이트 부분에서

Intercept is on 활성화 -> Add to Cart -> Prices 값 변경

정상적으로 구매가 가능 LAB Solved