Buenas a todos, en las tiendas Online un aspecto muy importante es el de la validación de los datos en los carritos de compra. Si no validas los datos en el lado del servidor que un cliente envía desde su navegador, con la simple confianza de que un usuario no modifique una petición web..., mal camino llevas.Para probar este hecho vamos a utilizar el plugin para Firefox, Tamper Data, un proxy para modificar las cabeceras HTTP y HTTPS que utilizaremos para modificar los parámetros enviados por POST en una petición web.Para ilustrar el problema haremos la demo sobre un sitio web vulnerable de compra de máquinas de gimnasio.A continuación se puede ver la página web donde se presenta el producto de la tienda online:
Añadiremos el producto al carrito:
Si tenemos activo el plugin Tamper Data habrá cazado la petición:
Nos dará la posibilidad de modificarla:
Ahora solo debemos buscar dentro de los parámetros enviados por POST el número donde se indíca el precio del producto, y modificarlo por el que queramos, por ejemplo, 1€:
Y ejecutar el envío modificado:
Ya tenemos una máquina de gimnasio en nuestra casa por el increíble coste de 1€.Validad los datos siempre, no dejéis nada en el aire o si no podéis perder mucho dinero.Saludos!P.D. Ya sabéis porqué me queda tan bien la camiseta de Flu... ;P
Buscar
VISITS
ARCHIVE
-
►
2023
(18)
- ► septiembre (2)
-
►
2020
(215)
- ► septiembre (22)
-
►
2019
(123)
- ► septiembre (21)
-
►
2018
(49)
- ► septiembre (6)
-
►
2017
(78)
- ► septiembre (10)
-
►
2016
(154)
- ► septiembre (10)
-
►
2015
(176)
- ► septiembre (28)
-
►
2014
(278)
- ► septiembre (21)
-
►
2013
(359)
- ► septiembre (30)
-
►
2012
(371)
- ► septiembre (32)
-
▼
2011
(386)
- ► septiembre (30)
-
▼
febrero
(29)
- Scapy: Construyendo un paquete UDP
- Informe Flu - 8
- Razor
- GnackTrack
- Resumen ponencia de Flu Project en la JITICE 2011
- pastebin... tu password en Internet
- Valida los datos en el servidor o atente a pérdidas
- Seguridad en los banner de los servidores web Apac...
- Explotando UAC Windows 7
- Informe Flu - 7
- JITICE 2011
- Las viñetas de Flu Project – 3
- Crear phishing... es tan fácil
- Manual de uso Truecrypt en Windows (Parte II)
- Flu ayuda a implantar una CMDB para ITIL e ISO/IEC...
- Phishing, puro fake
- Informe Flu - 6
- Las viñetas de Flu Project - 2
- Flu-Project+Fasttrack+Metasploit+ Meterpreter infe...
- GNS3: Instalación y configuración básica
- Crackear WPA: rotura de WLAN_XXXX
- No todo en seguridad son Test de Penetración
- Borogove: Sniffando conversaciones Facebook
- Informe Flu - 5
- Estadísticas del portal tras las primeras 5 semana...
- Manual de uso Truecrypt en Windows (Parte I)
- Transferencias de Zona (II de II)
- LAGADS.exe – Lista, Extrae y borra ADS
- Firesheep: FocalPrice