[PortSwigger] - Lab: Excessive trust in client-side controls

김성진·2022년 11월 16일
0

This lab doesn't adequately validate user input. You can exploit a logic flaw in its purchasing workflow to buy items for an unintended price. To solve the lab, buy a "Lightweight l33t leather jacket".
You can log in to your own account using the following credentials: wiener:peter

Lightweight l33t leather jacket을 사줘야 할 것 같다.
wiener : peter이 계정이다.


📒 Analysis

적당히 로그인을 하면 100$가 있음을 확인할 수 있다. 하지만 우리가 사고싶은 저 옷은 무려 1337$이다. 구매할 때 Logic Flaw를 확인해보자. 문제에서 adequately validate user input이라고 하였으니 ...

카트에 담고 장바구니(?)를 확인해보자.
이런 화면으로 나오게 된다. 이 상태에서 place order를 진행하니 되지 않는다. 당연한 거긴 한데 돈이 부족하니까 진행이 되지 않는 것이다. 그러면 Burp Suite를 이용하여 Intercept를 걸어놓고 확인해보자.가격을 1로 바꾸어보자. 이렇게 문제가 풀림상태로 변하게 된다.

profile
Today I Learned

0개의 댓글