shikata ga nai

Private? There is no such things.

How I was able to buy t-shirt for €1を訳してみた

Hell there, ('ω')ノ

 

Tシャツを1ユーロで購入できた方法を。

 

脆弱性:

 支払いの改ざん

 

記事:

 https://muztahidultanim.medium.com/how-i-was-able-to-buy-t-shirt-for-1-payment-price-manipulation-36b4d6a30034

 

ツール:

 Burp Suite

 

今回は、単純ですが重大な脆弱性を共有することに。

支払い価格操作と呼ばれるこの脆弱性は、この脆弱性を利用することで。

1ユーロであらゆる製品を購入することができて。

最初にカートに商品を追加して、Burpでリクエストをキャプチャすることに。

この投稿リクエストをキャプチャしても疑わしいものは何もなく。

 

f:id:ThisIsOne:20211122180717p:plain

 

その後、下記ようなページが表示されて。

「Quantity」という文字が注意を引いて。

1ユニットをインクリメントすると、小計価格はどうなるかを。

リクエストを再度キャプチャすることに。

 

f:id:ThisIsOne:20211122180740p:plain

 

次に、小計の送料とすべてを運ぶいくつかのパラメーターを見つけたので。

sub_totalとtotalを除くすべての価格パラメータの値を0.00に変更して。

これら2つのパラメータの値を€1に変更して。

リクエストを転送し、支払いページにリダイレクトすると。

 

f:id:ThisIsOne:20211122181125p:plain

 

支払いをした注文を確認して。

 

f:id:ThisIsOne:20211122180810p:plain

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain