Business Logic Error - Payment Bypass via Client-Side Trust Abuse
Por @hidalg0dHackenStore es una tienda online ambientada en Dragon Ball pero simulando un entorno 100% real, vulnerable que permite a un atacante comprar cualquier producto sin pagar. El flujo de checkout ofrece "ScanPay" como método de pago por QR: El frontend genera un QR Hace polling al endpoint /api/payment/status/{paymentId} cada 2 segundos El problema: El backend confía ciegamente en el dato enviado por el cliente, confirmando el pedido sin verificar el estado real del pago contra el procesador.
Accede a este lab
Entorno seguro y aislado
Crea una cuenta y suscríbete para acceder a todos los labs. Practica en un entorno real y seguro.
Hunters que lo han resuelto· 8
Logro que recibirás
Cuando resuelvas este lab desbloqueas este logro compartible
Business Logic Error - Payment Bypass via Client-Side Trust Abuse
Writeups de la comunidad
HackenStore es una tienda online ambientada en Dragon Ball pero simulando un entorno 100% real, vulnerable que permite a un atacante comprar cualquier producto sin pagar.
El flujo de checkout ofrece "ScanPay" como método de pago por QR:
El frontend genera un QR
Hace polling al endpoint /api/payment/status/{paymentId} cada 2 segundos
El problema:
El backend confía ciegamente en el dato enviado por el cliente, confirmando el pedido sin verificar el estado real del pago contra el procesador.
