Blog

Como comprar a 1€ en internet (y no es con SQLi)

Como veis el titulo del post es muy suculento y la mayoría podeis imaginaros que lo vamos a hacer través de la tecnica SQLInjection modificando el precio de nuestro producto en la base de datos del servidor. Pues no! Vamos a innovar un poco.

Antes de empezar decir que esto podemos hacerlo debido a un mal diseño de la apliación web que gestiona los pagos. Lo que haremos será ver como la tienda online envía una petición a la aplicación web que se encarga de gestionar los pagos con el banco. Si nos fijamos con un poco de detalle podemos ver que en esta petición aparece en uno de los parametros el precio del producto en medio de mucha basura.

Esto lo haremos de la siguiente manera. Primero instalamos el complemento de firefox “Tamper Data” muy facilito de encontrar. Este sirve para ver las peticiones que enviamos y sobretodo para modificarlas como hicimos en Mofificar peticiones http + Fuerza bruta a panel de login de paginas web pero de una forma más sencilla. Cuando lo ejecutas podrás ver todas las peticiones que está enviando tu navegador Firefox, y cuando quieras modificar alguna debes pulsar el boton comenzar modificación y cada vez que hagas una petición te preguntará si quieres modificarla o dejarla salir tal cual está. En nuestro caso pulsaremos en modificar para buscar el precio y modificarlo haciendonos una pequeña rebaja.

chuck1

Podemos ver en la imagen en la parte de la izquierda que es la pagina web de la tienda online en donde vemos que el segundo producto tiene un valor de $126.95 que será el que demos a añadir al carro y  a la derecha podemos ver la petición capturada por TamperData. La petición lleva 4 parametros y el tercero “AddItem” que es muy largo, si vas buscando por el texto acabarás encontrando el precio del producto que has añadido al carro. Ya solo tienes que modificarlo y poner un precio que te convenga más. Ya solo queda enviarla.

chuck2

Como veis la apliación web que gestiona los pagos con el banco nos dice que el precio del producto es de $1.

Espero que os haya gustado.

 

roberto@highsec.es – @leurian

  1. Miguel Ángel
    Miguel Ángel06-13-2013

    Muy buen post, Roberto 😉

  2. R0dW3
    R0dW306-18-2013

    Buen post!! 🙂

Leave a Reply

*

    No Twitter Messages