[TR] Bulduğum Price Manipulation of Products zafiyeti

Zafiyetin tanımı:

Bulduğum Price Manipulation of Products zafiyeti web sitesindeki herhangi bir ürünü istenilen fiyata alabilmeyi sağlıyor.

Sömürü Aşaması:

1- İlk olarak sepete herhangi bir ürün ekledim. Burp suite aktif ettim ve Eft/Havale yöntemiyle sipariş onay sayfasına gittim.

1

2- Siparişi onayladıktan sonra Burp’e gelen request üzerinde sağ tıklayıp “do intercept > response to this request” seçeneğine tıkladım.

2

3- Response’da gelen JavaScript kodunu kopyaladım. Bu kod siparişi tamamladığımızda çıkıyor.

3

4- Gelen response’u Droplayıp tekrar sepete gittim. Bu sefer kredi kartı ile ödeme seçeneğini seçtim. Kart bilgilerini girdikten sonra onayladım ve isteği Burp suite ile yakaladım.

4–5

5- Request üzerinde fiyatı 1tl olarak değiştirdim.

6- Request üzerinde sağ tıklayıp “do intercept > response to this request” seçeneğine tıkladım.

6

7- Gelen response’a daha önceden kopyaladığım Java kodunu yapıştırdım ve işlem tamamlanıyor.

İşaretli yere daha önce kopyaladığımız kodu yapıştırdım.

Linkedin: https://www.linkedin.com/in/nurullah-hang%C3%BCl-b858b7257/