Explotando Vulnerabilidades de Validación de Entrada en un Workflow de Compras — Web Sec Academy

En este laboratorio vamos a explorar una vulnerabilidad crítica que surge de la falta de validación adecuada de las entradas del usuario en el workflow de compras de un sitio web. La meta será comprar una chaqueta de cuero “Lightweight l33t leather jacket” a un precio alterado.

Objetivo
- Comprar una chaqueta de cuero “Lightweight l33t leather jacket” manipulando la solicitud de compra.

Credenciales de Acceso
- Usuario: wiener
- Contraseña: peter

Paso a Paso

1. Ingreso al Sitio

Primero, ingresamos al sitio web utilizando las credenciales proporcionadas.

2. Selección del Producto

Una vez dentro, navegamos a la sección de productos y seleccionamos la chaqueta de cuero “Lightweight l33t leather jacket”.

3. Interceptación de la Solicitud

Utilizando Burp Suite, interceptamos la solicitud que se envía al servidor al agregar el producto al carrito. En esta solicitud, podemos observar el campo `price`:

4. Manipulación del Precio

Cambiamos el valor del campo `price` a un monto significativamente menor. Esta falta de validación en el lado del servidor permite que la modificación sea aceptada sin problemas.

5. Verificación del Carrito

Después de manipular el precio, verificamos el carrito de compras para asegurarnos de que el nuevo precio ha sido aplicado.

6. Finalización de la Compra

Procedemos a completar la compra seleccionando “place order”. Notamos que el sistema procesa la orden con el precio modificado, lo que confirma la explotación exitosa de la vulnerabilidad.

Conclusión

Este laboratorio ilustra cómo la falta de validación adecuada de las entradas del usuario puede llevar a serias vulnerabilidades en aplicaciones web. Es crucial implementar verificaciones robustas en el lado del servidor para prevenir tales exploits y proteger tanto a la empresa como a sus clientes.