English
Buenas a todos, en las tiendas Online un aspecto muy importante es el de la validación de los datos en los carritos de compra. Si no validas los datos en el lado del servidor que un cliente envía desde su navegador, con la simple confianza de que un usuario no modifique una petición web..., mal camino llevas.Para probar este hecho vamos a utilizar el plugin para Firefox, Tamper Data, un proxy para modificar las cabeceras HTTP y HTTPS que utilizaremos para modificar los parámetros enviados por POST en una petición web.Para ilustrar el problema haremos la demo sobre un sitio web vulnerable de compra de máquinas de gimnasio.A continuación se puede ver la página web donde se presenta el producto de la tienda online:
Añadiremos el producto al carrito:
Si tenemos activo el plugin Tamper Data habrá cazado la petición:
Nos dará la posibilidad de modificarla:
Ahora solo debemos buscar dentro de los parámetros enviados por POST el número donde se indíca el precio del producto, y modificarlo por el que queramos, por ejemplo, 1€:
Y ejecutar el envío modificado:
Ya tenemos una máquina de gimnasio en nuestra casa por el increíble coste de 1€.Validad los datos siempre, no dejéis nada en el aire o si no podéis perder mucho dinero.Saludos!P.D. Ya sabéis porqué me queda tan bien la camiseta de Flu... ;P
Añadiremos el producto al carrito:
Si tenemos activo el plugin Tamper Data habrá cazado la petición:
Nos dará la posibilidad de modificarla:
Ahora solo debemos buscar dentro de los parámetros enviados por POST el número donde se indíca el precio del producto, y modificarlo por el que queramos, por ejemplo, 1€:
Y ejecutar el envío modificado:
Ya tenemos una máquina de gimnasio en nuestra casa por el increíble coste de 1€.Validad los datos siempre, no dejéis nada en el aire o si no podéis perder mucho dinero.Saludos!P.D. Ya sabéis porqué me queda tan bien la camiseta de Flu... ;P
