Nuevos labs cada semana — Accede a todos desde 7,99€/mes

>Inicio>Labs>New labs>Creators>Ranking>Aprender>Empresa>Precios
Iniciar SesiónCrear Cuenta

Labs de Business Logic

Business Logic Vulnerabilities

¿Qué es Business Logic?

Las vulnerabilidades de Business Logic son fallos en el diseño de la aplicación que permiten a los atacantes manipular los procesos legítimos de negocio. No violan la tecnología, sino las reglas del negocio: orden de operaciones, validación cliente-only, abuso de free trials.

¿Por qué practicar Business Logic?

Los scanners no detectan estos bugs — solo los encuentran hunters con experiencia y creatividad. Por eso los bounties son altos y la competencia es baja. Cada caso es único, y practicar con reportes reales es la única forma de desarrollar el ojo y el patrón mental.

¿Qué aprenderás con los labs de Business Logic?

Aprenderás a leer flows de negocio como código (registration, checkout, refund, password change), identificar validaciones client-only que el backend trust, encadenar steps fuera de orden (skipping payment), y reportar con un PoC narrativo que el triager pueda reproducir en 30s.

Tipos de Business Logic que cubrimos

  • Payment bypass

    Cambiar precio en POST body, completar order sin pagar, race condition en stock.

  • Coupon abuse

    Aplicar mismo cupón N veces vía race, combinar cupones supuestamente exclusivos, modificar discount field.

  • Workflow skipping

    Saltar steps de un proceso multi-paso (skip email verification, skip phone verification, skip onboarding).

  • Free trial farming

    Múltiples free trials con un email + alias o variantes (.) que el dedup no normaliza.

¿Cómo encontrar y explotar Business Logic?

Playbook práctico — del recon a la prueba de concepto.

  1. 1

    Entender el flujo como negocio

    Recorre el proceso completo (checkout, refund, transferencia) anotando cada paso, qué valida el cliente y qué el servidor, y qué pasaría si rompes el orden.

    carrito → dirección → pago → confirmación  (¿qué valida cada salto?)
  2. 2

    Manipular valores que deberían ser fijos

    Cambia precio, cantidad, moneda, descuento o estado en el body. Si el backend confía en el dato del cliente, ganas dinero o saltas controles.

    POST /checkout   {"item":"x","price":0.01,"qty":-5}
  3. 3

    Saltar pasos del workflow

    Llama directamente al paso final omitiendo verificaciones intermedias (email, teléfono, pago). Muchas apps no comprueban que los previos se cumplieron.

    POST /order/confirm   (sin pasar por /order/pay)
  4. 4

    Abusar de límites y promociones

    Reaplica cupones de un solo uso (a menudo vía race), combina ofertas excluyentes o reinicia free trials normalizando el email.

    victima+1@x.com / victi.ma@x.com  (mismo buzón, dedup ingenuo)
  5. 5

    Documentar el impacto económico

    Narra el abuso paso a paso y cuantifica la pérdida para el negocio: ese es el argumento que sube la severidad.

    Compra de plan Pro por 0,01€ en lugar de 99€, reproducible

Aprende la teoría

Academy: Payments & Stripe Security

Cargando labs...

Ver en catálogo completo →

Preguntas frecuentes

¿Qué es una vulnerabilidad de Business Logic?

Es un fallo en el diseño del proceso de negocio, no en la tecnología: el atacante usa funciones legítimas en un orden o con valores no previstos (cambiar el precio, saltar el pago, reusar cupones) para obtener un beneficio indebido.

¿Cómo se explota un fallo de lógica de negocio?

Se manipulan datos que deberían ser fijos (precio, cantidad, estado), se saltan pasos de un flujo multi-etapa o se abusan límites (cupones, trials) explotando que el backend confía en validaciones del cliente o no verifica el orden de las operaciones.

¿Cómo encontrar Business Logic en bug bounty?

No los detectan los scanners: hay que entender el negocio. Recorre checkout, refunds, transferencias y registro pensando 'qué pasa si pongo un número negativo, salto este paso o repito esta acción'. Por eso pagan bien y hay poca competencia.

¿Cómo prevenir fallos de Business Logic?

Valida todas las reglas en el servidor (nunca confíes en el cliente), verifica el estado y el orden de cada paso del flujo, recalcula precios y descuentos en backend, e implementa idempotencia y límites server-side en promociones y trials.

¿Diferencia entre Business Logic y un fallo técnico como XSS o SQLi?

El XSS o la SQLi explotan un defecto técnico (input no sanitizado). La Business Logic no rompe la tecnología: usa las funciones tal cual existen pero de forma no prevista por el negocio. Por eso requieren creatividad humana y no aparecen en escáneres automáticos.

Otras categorías relacionadas

API Abuse

API Abuse & GraphQL Attacks

Race Condition

Race Condition (TOCTOU)

Auth Bypass

Authentication Bypass

→ Ver todas las vulnerabilidades→ Academy gratuita→ Precios desde 7,99€/mes

Empieza con labs de Business Logic

Practica Business Logic Vulnerabilities con labs basados en reportes reales. En español. Desde 7,99€/mes.

Empieza con el primer lab de Business Logic