Exploiting a mass assignment vulnerability

Link: https://portswigger.net/web-security/api-testing/lab-exploiting-mass-assignment-vulnerability

Description:

To solve the lab, find and exploit a mass assignment vulnerability to buy a Lightweight l33t Leather Jacket. You can log in to your own account using the following credentials: wiener:peter.

Proof of concept:

  1. Lakukan analisa pada fitur-fitur yang ada pada web target menggunakan akun testing

  2. Dari hasil analisa didapati bahwa pada saat menambahkan product ke cart belanja, kemudian halaman cart belanja tersebut diakses maka akan melakukan GET pada API /api/checkout dengan response yang diberikan terdapat data produk yang dipilih dan juga persentase diskon

  3. Ketika dilakukan checkout, request yang dikirimkan merupakan data produk yang dipilih

  4. Maka dari itu, tambahkan JSON data persentase diskon yang diberikan seperti yang dilihat pada response API dari GET /api/checkout. Untuk menambahkan lakukan intercept request pada saat melakukan checkout menggunakan burp suite intercept lalu tambahkan data JSON tersebut dengan nilai persentase 100

  5. Maka produk tersebut dapat dibeli dengan store credit $0.00

Thanks, Stay Ethical & Happy Hacking! 🍻

PreviousExploiting an API endpoint using documentationNextFinding and exploiting an unused API endpoint

Last updated