23 feb 2011

Valida los datos en el servidor o atente a pérdidas

Buenas a todos, en las tiendas Online un aspecto muy importante es el de la validación de los datos en los carritos de compra. Si no validas los datos en el lado del servidor que un cliente envía desde su navegador, con la simple confianza de que un usuario no modifique una petición web..., mal camino llevas.Para probar este hecho vamos a utilizar el plugin para Firefox, Tamper Data, un proxy para modificar las cabeceras HTTP y HTTPS que utilizaremos para modificar los parámetros enviados por POST en una petición web.Para ilustrar el problema haremos la demo sobre un sitio web vulnerable de compra de máquinas de gimnasio.A continuación se puede ver la página web donde se presenta el producto de la tienda online:Añadiremos el producto al carrito:Si tenemos activo el plugin Tamper Data habrá cazado la petición:Nos dará la posibilidad de modificarla:Ahora solo debemos buscar dentro de los parámetros enviados por POST el número donde se indíca el precio del producto, y modificarlo por el que queramos, por ejemplo, 1€:Y ejecutar el envío modificado:Ya tenemos una máquina de gimnasio en nuestra casa por el increíble coste de 1€.Validad los datos siempre, no dejéis nada en el aire o si no podéis perder mucho dinero.Saludos!P.D. Ya sabéis porqué me queda tan bien la camiseta de Flu... ;P

7 comentarios:

  1. [...] This post was mentioned on Twitter by JuanJoséGarcíaSamán, hackplayers. hackplayers said: Valida los datos en el servidor o atente a pérdidas: Buenas a todos, en las tiendas Online un aspecto muy import... http://bit.ly/gaxJDM [...]

    ResponderEliminar
  2. Viejo, una pregunta... Cual es el plugin para que la imagen se agrande en el mismo blog ???

    ResponderEliminar
  3. Jeje muy bueno :P Que animos juaquerosos dan :)Pero independientemente de eso es muy importante el consejo que se da sbre la validacion.Tambien podriamos usar Burp :)P.D juanan les recomendaria ver la posibilidad de actualizar lightbox, para que al dar click en una imagen puedas pasar a otra con las flechas del teclado sin necesidad de cerrar la imagen que se abrio y luego abrir la siguiente. Este theme de wordpress por lo que vi usa lightbox de manera personalizada, pero bueno solo es una recomendacion.Saludos ;)

    ResponderEliminar
  4. Gracias @hecky!, estudiaremos lo del plugin.saludos!

    ResponderEliminar
  5. Estaría bien que las tiendas on-line no tuvieran esta clase de vulnerabilidades pero supongo que al revisar los pedidos a mano, porque alguien tendrá que mandar las pesas a casa del comprador, se darían cuenta del intento de estafa. Claro que si la maquinita cuesta 232 y le ponemos 223 a lo mejor no canta el asunto, pero a 1 euro seguro. ¿Y podría demostrar la tienda el intento de estafa o el cliente podría argumentar que el precio era ese? "Me pareció un ofertón mu raro señor juez, pero tonto el último"Sólo escribía para deciros que sigo el blog y me gusta mucho, felicidades!!! :)

    ResponderEliminar
  6. Si tienes factura donde pone el precio y ellos no pueden demostrar que la has modificado, no les queda otra que vendertelo. A ver si algun abogado nos da su punto de vista (streaming por ejemplo :) )Un saludo!

    ResponderEliminar