Pentest & Bug Bounty
  • 🥷Pentest et Bug Bounty
    • 👾Pentest Methodology
    • 💸Bug Bounty Methodology
      • 📓Ecrire un bon rapport
      • ⚖️Aspect Juridique (FR)
  • 👣OSINT / Recon
    • 🧦Sock Puppet
    • 🧠Mindmaps
    • 🏢Entreprise
    • 👀Leaks
    • 👊Manuel / Dorks
      • Google dorks
      • Github dorks
      • Twitter Dorks
      • Shodan Dorks
    • 👥Réseaux sociaux (SOCMINT)
      • 🕵️Telegram OSINT
      • 👻Snapchat OSINT
      • 🤵‍♂️Linkedin OSINT
      • 🗣️Facebook OSINT
      • 🎼Tik tok OSINT
      • 📷Instagram OSINT
      • 🐦Twitter OSINT
      • 🔊Discord OSINT
    • 🖇️Domaines et Sous-domaines
    • 🚪Scan de ports / web
    • ✉️Emails
    • 🔗Réseau
    • 📷Screenshots
    • 📹Live camera
    • 🧔Reconnaissance faciale / images
    • 🌆Images
    • 🗺️Maps
    • 👁️Active Directory
    • ☁️Cloud
    • Autre
  • 🌐Pentest Web
    • ✊Brute force / Fuzzing
    • 💉Injections
      • 🍪XSS
        • PDF injection
      • 📄HTMLi
      • 📃XXE
      • 7️⃣SSTI
      • 🔢SQLi
        • 👫UNION based
        • ⏳Time based
        • 🥽Boolean based / Error Based
        • 📤Out-Of-Band
      • ↩️CRLF
      • 🐚OS injection
      • ☕Log4Shell
      • 🥠CSV
      • 🍻ESI
      • 😎XSLT
      • 💌Injections dans emails
      • 🔀ELi
        • OGNLi
    • ↪️Open redirect
    • 📁Path Traversal / LFI / RFI
    • 🔓Bypass
      • 〰️WAF / Filter bypass
      • 2️2FA
    • ☠️Charges utiles
    • 📚CMS (Content Management System)
      • WordPress
      • Joomla!
      • Magento
      • Drupal
    • 🎭SOP bypass
      • CORS
      • postMessage()
      • JSONP
    • 🖱️Clickjacking
    • ⚙️Insecure deserialization
    • ☣️Web Cache Poisoning / Deception
    • 🤝HTTP Smuggling
    • 👋OAuth
    • ⛔SAML
    • 🗝️JSON Web Token
    • 🎣CSRF
      • 🚀Cross-site WebSocket Hijacking (CSWSH)
    • 🎯IDOR
    • 🕹️SSRF
      • Cloud SSRF
      • Protocol Smuggling
    • ⚙️APIs
      • 🍽️REST
      • 📶GraphQL
    • ❓Mot de passe oublié
    • 🛒Fonctions d'achat et de facturation
    • 👽Broken authentication / register
    • 🏁Panneaux d'administration
    • ⏬Upload features
    • 🔗Broken Link Hijacking
    • 🎮Prise de contrôle de sous-domaine
    • 🛂Prise de contrôle de DNS
    • ☝️One liners
    • 🚧Misconfigurations
    • 🗿Analyse statique
      • PHP
      • Ruby On Rails
      • Perl
      • JAVA
      • Javascript
      • Python
      • Golang
      • .NET
    • 🪣AWS S3
    • 🤖Captcha
    • 🪞Race conditions
    • ☄️.git exposé
    • 💭Business logic
    • 🥡Prototype pollution
    • 💣Dependency confusion
    • 🛑DoS
      • 🤯ReDoS
      • 👏Hash flooding
      • 🧨Cookie bomb
    • Autre
      • Flask
      • Symphony
      • Spring Boot
      • Django
      • Jenkins
  • 🌩️Pentest Cloud
    • IaC (Infrastructure as Code)
      • Terraform
      • Helm
      • Kustomize
    • AWS
      • Enumeration
    • Azure
      • Entra ID
      • Azure Resource Manager (ARM)
        • Enumeration
    • GCP
      • GCP IAM
      • Authentification
      • Enumeration
    • Kubernetes
  • 🕸️Pentest Réseau
    • 🪡Protocoles réseau
    • 📡Wifi
    • 🔋BLE
    • 📍VPN
  • 🗂️Pentest AD
    • 👺GPP
    • ➡️Mouvements latéraux
      • 🔪Pass The Hash
      • 🗡️Over Pass The Hash
    • 📜ADCS
  • 📱Pentest Mobile
    • 🤖Android
      • 👾Méthodologie
      • 🌳Setup environnement
      • 🍇Collecte d'informations
      • 🔠Enumeration des données locales
      • 🔙Reverse engineering
        • 🪢Dé-obfuscation
      • ⛰️Analyse statique (Android)
      • 🐞Debug
      • 🎰Stockage de données non sécurisé
        • 📰Logs
        • 🤝Shared Preferences
        • 🔤Strings
        • 🗄️SQLite DB
        • 🗃️Realm DB
        • 🧠Mémoire
        • 📍Copy/Paste buffer caching
        • ⌨️Keyboard press caching
        • 🔙Backup
        • Carte SD
      • 🌩️Firebase/Appspot misconfig
      • 🔗Deeplinks vulns
        • Interception de contenu
        • WebView hijacking (via deeplink)
        • Invalid Digital assets links
      • 🖼️WebView vulns
        • WebView Hijacking
        • Exfiltration de données
        • RXSS
        • Vol de token
      • Guides outils
        • ⛏️Outil Drozer
          • Injections SQL (Android)
          • Path traversal (Android)
        • 🔬Outil Objection
        • 🪝Outil Frida
        • Outil Medusa / Mango
      • Bypass
        • 📲Contournement de détection d'emulateur
          • 📂Fichiers d'emulateurs
          • 🙋‍♂️Network Operator Name
        • 🦷Contournement des détections de rootage
          • 🧮Root management
          • 🗝️Clé de signature du noyau
          • 🧊Props dangereux
          • 🦸‍♂️Binaire "su"
          • ❌Permissions sur les repertoires
        • ☝️Contournement des protections biometriques
        • 📜SSL pinning bypass
        • Contournement de code PIN
      • 🔳Lecteur de code QR/EAN/Barres...
      • 💔Injection de backdoor
      • 🪧Task hijacking
      • 🎭Overlay attacks
        • Tapjacking
        • Invisible Keyboard
      • 📵Résilience
        • ⌨️Third Party Keyboards
        • ©️Allowed Copy/Paste on sensitive fields
        • 🛤️Background screen caching
        • 🖋️Schémas de signature
        • ⬆️In-App updates
      • 🤯Corruption de Mémoire
    • 🍏iOS
      • 🥅Méthodologie
      • 🧱Setup environnement (iOS)
      • ⏮️Reverse engineering (iOS)
      • 🏔️Analyse statique (iOS)
      • 🧿Contournement de détection de Jailbreak
      • 📌SSL pinning bypass (iOS)
      • 👇Contournement d'authentification biométrique
      • 🐛Contournement d'anti-Hooking/Debugging
      • 🙈Stockage de données non sécurisé (iOS)
        • 💭Mémoire (iOS)
        • 🏓Copy/Paste buffer caching (iOS)
        • 🍪Cookies (iOS)
        • 🗞️Logs (iOS)
        • ⌨️Cache du clavier (IOS)
        • Backup (IOS)
      • 📱Background screen caching
      • 🧑‍🚀WebView vulns (iOS)
      • Deeplinks vulns (iOS)
      • Lecteur de code QR
      • Firebase misc
  • 👷Pentest physique
    • 🔐Crochetage
    • 💳RFID
    • ⚙️Equipements
    • 💾Hardware Hacking
      • 📈UART
      • 🧪JTAG
      • ⚡SWD
      • 🪢SPI
      • 🚌I²C
      • 🔴Fault Injection
      • Side-Channel Attacks
    • 🐣Firmware hacking
  • 🖨️Pentest IoT
    • ⏪Replay de stream camera
    • 🗣️Assistants vocaux
    • 📹Camera IP
    • ⬇️DoS
    • 🖨️Imprimantes
    • 🎬Chromecast
  • 💀Hacking protocols
    • 😩Telnet - port 23
    • 🔐SSH - port 22
    • 📤FTP - port 21
    • ❔Whois - port 43
    • 👉DNS - port 53
    • 🐕‍🦺Kerberos - port 88
    • 💼SNMP - ports 161-162
    • 📨SMB - ports 445-139
    • 📧SMTP - ports 25-587
    • 🎦RTSP - port 554
    • 🔎MS-RPC - ports 135-593
    • ➕Rsync - port 873
    • 🔢MS-SQL - port 1433
    • 🏗️Docker - port 2375
    • 🔡MySQL - port 3306
    • 📝LDAP - ports 389, 636, 3268, 3269
    • 🖥️RDP - port 3389
    • ⌨️VNC - ports 5800,5801,5900,5901
  • 😈Ingénierie sociale
    • 🧠Concepts / Principes / Attaques
    • 🪧Ethique
    • 👤Profils comportementaux
  • 🔓Crack
  • 🛠️Autres outils utiles
    • 🚿Sandbox / Sanitizer
    • 🔤Générateurs de wordlists personnalisées
  • 🌜Post-Exploitation
    • 👔Énumération /Élévation de privilèges
      • 🐧Linux
        • CVE-2022-0847 (Dirty Pipe)
        • CVE 2021-4034 (PwnKit)
        • CVE 2021-3560 (Polkit)
      • 🪟Windows
        • 🖨️PrintNightmare
        • 🖨️SpoolFool
        • 🆔Usurpation de SAMAccountName
        • ⏲️Scheduled task/job (T1573.005)
        • 🐝HiveNightmare
        • 🔑Stored Credentials
        • 🎩SeImpersonatePrivilege
        • 🎒SeBackupPrivilege
        • 🍞Unquoted Service Path
        • 🧩DLL Hijacking
        • ©️SeBackupPrivilege
      • ⛴️Docker
    • 👻Effacement des traces
    • ⚓Persistance / Downloaders
    • 🛡️Defense evasion
    • 📦Exfiltration de Données
  • 🔎Forensic
    • 💡Méthodologie
    • 📺Live forensic
    • 💻Mémoire non volatile
    • 🕊️Mémoire volatile
    • 📄File forensic
Propulsé par GitBook
Sur cette page
  • Manipulation des paramètres
  • CSRF
  • IDOR
  • Clickjacking
  • Manipulation de réponse HTTP
  • Cartes de test (Stripe)
  • Carte expirée accepté (Réservations)
  • Transmission en clair de données sensibles

Cet article vous a-t-il été utile ?

  1. Pentest Web

Fonctions d'achat et de facturation

Les fonctions d'achat et de facturation sont généralement présentes dans la plupart des applications Web. Le test de ces fonctions peut être assez simple et peut en fait créer un impact commercial très important. Vous trouverez ci-dessous quelques moyens de tester et de trouver des bugs dans les fonctions d'achat d'une application Web.

Manipulation des paramètres

La falsification des paramètres est une vulnérabilité qui peut affecter n'importe quel site Web, mais la "manipulation des prix" est largement unique aux sites d'achat en ligne. Un site Web est vulnérable s'il se fie indûment à la validation côté client ou s'il ne parvient pas à valider l'entrée de l'utilisateur côté serveur.

Exemple: on a une url de ce type

https://target.com/cart?id=1&qty=2&price=29,99&currency=EUR

Dans ce cas l'attaquant peut tenter de changer simplement la valeur du prix et/ou de la quantité. Si la validation des paramètres n'est pas bien faite alors il sera capable d'acheter 100 produits pour 29,99 euros ou 2 produits pour 1 euro par exemple.

Voici quelques scenarios d'attaque mettant en oeuvre cette méthode:

  • Changer le prix d'un produit cher en un produit bon marché.

  • Augmenter la quantité du produit au prix d'un seul.

  • Changer la devise (EUR en PKR).

  • Mettre le prix du produit en négatif si le pris final ne peut pas être négatif.

  • Si l'application utilise un hachage, essayez de capturer le hachage d'un produit bon marché et remplacez-le lors de l'achat d'un produit coûteux.

  • S'il y a un coût supplémentaire comme une taxe/quelque chose, changez-le en montant négatif qui pourrait réduire le prix total du produit.

  • Si vous avez 2 coupons de réduction et que la vérification n'est faite qu'une seule fois, alternez entre les deux coupon pour vérifier si vous ne pouvez pas utiliser plusieurs fois le même coupon.

CSRF

Une bonne méthodologie pour identifier les vulnérabilités CSRF serait de découvrir tous les points de terminaison à travers lesquels l'application initie et exécute des actions, et d'appliquer des tests en créant un formulaire html pour une demande post-basée ou une URL pour une demande basée sur un GET. Astuce : Vous pouvez utiliser le générateur BurpSuite CSRF POC pour votre facilité

Scénarios:

  • CSRF sur l'ajout de produit au panier

  • CSRF lors de la suppression d'un produit du panier

  • CSRF sur le changement d'adresse de la victime

  • CSRF lors de la suppression de la carte-cadeau/coupon appliqué

IDOR

Les références directes d'objet non sécurisées ou IDOR se produisent lorsqu'une application reçoit une entrée de l'utilisateur et l'utilise pour récupérer un objet interne tel qu'un fichier ou une clé de base de données sans effectuer une autorisation suffisante. Dans ces cas, l'attaquant peut alors modifier les références pour accéder à des données non autorisées.

Exemple: on a une url du type:

https://target.com/cart?userId=10

Le site cible peut être vulnérable si en changeant son userId de 10 à 15 par exemle l'attaquant peut accéder au panier du client ayant le userId 15.

Scénarios:

  • une IDOR permet à un attaquant d'afficher les informations de commande d'une autre personne.

  • une IDOR permet de supprimer des éléments du panier d'un autre utilisateur.

  • une IDOR permet d'afficher les données personnelles/sensibles d'un autre utilisateur (adresse, carte de crédit, etc).

Clickjacking

Le détournement de clic est une technique malveillante consistant à inciter un utilisateur à cliquer sur quelque chose de différent de ce que l'utilisateur perçoit - l'utilisateur croit qu'il interagit avec un site Web de confiance mais interagit en fait avec une ressource contrôlée par l'attaquant. En un mot, cela peut être décrit comme incitant un utilisateur à cliquer sur quelque chose de différent de ce que l'utilisateur perçoit, révélant potentiellement des informations confidentielles.

Scénarios:

  • Clickjacking lors de la mise à jour de la page nom/adresse, un attaquant peut inciter la victime à mettre à jour l'adresse de livraison à l'adresse de l'attaquant.

  • Clickjacking sur la page de paiement, un attaquant peut inciter l'utilisateur à acheter des articles à son insu.

  • Clickjacking sur l'ajout ou la suppression de produits, Un attaquant peut inciter la victime à ajouter ou supprimer des produits dans le panier.

Manipulation de réponse HTTP

La manipulation de la réponse signifie manipuler la réponse du serveur à notre navigateur. Dans de nombreux cas, cela peut être très utile pour les tests car cela peut entraîner des contournements tels que le contournement d'authentification, le contournement de paiement OTP et bien d'autres. Cela peut être facilement testé en examinant les réponses de l'application Web tout en effectuant une validation.

Exemples:

"paid":"false" paiement rejeté

"paid":"true" paiement accepté

403 Forbidden

200 OK

Cartes de test (Stripe)

Si le mode test de stripe n'a pas été désactivé par les développeurs, il est possible d'utiliser une fausse carte de crédit pour souscrire à un abonnement par exemple.

Carte expirée accepté (Réservations)

Certaines fonctions de paiement notamment celles liés à des réservation permettent parfois d'effectuer des réservations sans vérifier la date d'expiration de la carte utilisée.

Transmission en clair de données sensibles

Certaines applications transmettent des mots de passe et d'autres données sensibles sur des connexions non cryptées, ce qui les rend vulnérables à l'interception. Pour exploiter cette vulnérabilité, un attaquant doit être correctement positionné pour espionner le trafic réseau de la victime. Ce scénario se produit généralement lorsqu'un client communique avec le serveur via une connexion non sécurisée telle qu'un réseau Wi-Fi public ou un réseau d'entreprise ou domestique partagé avec un ordinateur compromis.

Vous pouvez utiliser wiershark ou un outil d'analyse de trafic similaire pour capturer le trafic réseau de l'ensemble de votre processus d'achat. Si vous voyez des données sensibles telles que les détails de votre carte de crédit ou votre adresse, elles sont transmises dans le protocole http non crypté et sont visibles en texte clair.

Il y a de fortes chances que vos données soient divulguées car les données seront enregistrées dans de nombreux endroits comme le serveur du FAI, les journaux du serveur d'application, tout service VPN tiers, etc.

PrécédentMot de passe oubliéSuivantBroken authentication / register

Dernière mise à jour il y a 1 an

Cet article vous a-t-il été utile ?

Pour tester si le site cible est vulnérable au clicjacking vous pouvez utiliser le site ou clickbandit sur l'outil burp suite.

ressource:

🌐
🛒
https://clickjacker.io/
https://stripe.com/docs/testing