Accede a este lab
Entorno seguro y aislado
Crea una cuenta y suscríbete para acceder a todos los labs. Practica en un entorno real y seguro.
Hunters que lo han resuelto· 8
Logro que recibirás
Cuando resuelvas este lab desbloqueas este logro compartible
BBLABS.ESLab Resuelto
Difícil$500
// achievement_unlocked
IDOR via Predictable Checkout IDs
Business LogicIDOR
jun 2026
solved_by@gorkaMiembro desde mar 2026
bblabs.es// real bug bounty practice
Writeups de la comunidad
Despliegue
# Opcion 1: autodeploy
./autodeploy.sh
# Opcion 2: manual
docker compose up --build
# Acceder
http://localhost:1800
Compatible con macOS, Linux y Windows (Docker Desktop / WSL).
Para parar:
./autodeploy.sh destroy
# o: docker compose down -v
Contenido del Lab
La aplicacion
LuxeCart es un e-commerce de productos de lujo con sistema de checkout que genera URLs con IDs numericos de 4 digitos.
La vulnerabilidad
Los checkouts usan IDs numericos secuenciales de 4 digitos (0000-9999). El endpoint GET /api/checkout/:id devuelve datos completos del comprador (nombre, email, telefono, PII) sin requerir autenticacion ni verificar la propiedad.
Cadena de ataque
1. Hacer una compra → obtener URL de checkout
2. Notar el ID de 4 digitos
3. Script para bruteforcear 0000-9999
4. Encontrar checkouts validos con PII
5. ID 7456 → checkout del admin con flag
Solucion interactiva
Accede a /writeup dentro de la aplicacion para una guia paso a paso con botones interactivos.
Remediacion
- Usar UUIDs en vez de IDs secuenciales
- Requerir autenticacion para acceder a checkouts
- Verificar propiedad del recurso
- Rate limiting en endpoints sensibles
