🤠Business Logic Errors

Steps to Reproduce:

1.Create an account using your email address. 2. Complete the email verification process before logging in. 3. Once logged in, navigate to the “Edit Profile” section and change the email address to the victim’s email. 4. Notice that the email is updated without any verification. 5. As a result, the account takeover occurs, as the email is changed without proper validation.

----------------------------------------------------------------

1. Business Logic Errors How to find them

  1. معلوم کریں کہ ایپ کیا کرتی ہے، "نارمل" کیا ہے

  2. یقینی بنائیں کہ آپ جانتے ہیں کہ تمام بٹن کیا کرتے ہیں۔

  3. ارد گرد کھیلنے کی کوشش کریں اور وہ کام کریں جو آپ کو نہیں کرنا چاہیے۔

  4. کیا اس سے آپ کو سیکورٹی پر اثر پڑتا ہے؟

  5. ہاں؟ رپورٹ لکھیں اور یقینی بنائیں کہ آپ نے اپنے فضل کے لیے ادائیگی کا طریقہ ترتیب دیا ہے!

----------------------------------------------------------------

2. Business Logic Errors How to find

  1. Sub se Pehly Scop Sahi se Set Karo.

  2. Ek taraf Burp me HTTP History Tab kholo

  3. Sath me Ek taraf Target per Login kar k website ka ek ek function, Botton, Input Ko Click karo, Touch karo or sath sath HTTP History Tab bhi Dekho Jese hi koi POST ya Put Request mily web ki ya APi ki jo Json me DATA Le k ja rahi ha ya usmy id ka Parameter ha tu us Request ko Repeater ya intruder ko send karo

  4. Repeater me ID value ko change kar k dekho input k sath cher khani karo.

  5. Intruder me ID K jitney parameter hen inko Rendom Nubers Payload k sath chala k Dekho.

  6. Intruder me Json parameter value ko FUZZDB Business Logic Wordlist k Sath chala k Dekho.

----------------------------------------------------------------

Method 1

  1. کسی ایپ کے اندر ایک اختتامی نقطہ تلاش کریں جو مخصوص اکاؤنٹس کے لیے ڈیزائن کیا گیا ہو۔

  2. ٹیم آئی ڈی کو ایک نچلی سطح تک رسائی کے ساتھ تبدیل کریں۔

  3. اثر: اکاؤنٹ کچھ ایسا کرنے کے قابل ہے جس کے قابل نہیں ہونا چاہئے۔

----------------------------------------------------------------

Method 2

  1. کارٹ میں آئٹمز شامل کریں۔

  2. ادائیگی کا طریقہ منتخب کرنے سے پہلے ایک درخواست کو روکیں۔

  3. منسوخی کی رقم کے پیرامیٹر کو 0 میں تبدیل کریں۔

اثر: مفت چیزیں حاصل کریں۔

----------------------------------------------------------------

Method 3

  1. Create a new order

  2. Use the Payment gateway cash on Delivery

  3. This skips a step internally, setting an order to processing

  4. Processing status generates reward points

impact: Gain Free reward Points

----------------------------------------------------------------

Tips to Find Business Logic Errors

  1. Payment gateways or Points Systems are great places to look

  2. Look for ways to skip over steps

  3. These bugs can be complex but also quite simple

  4. Finding impact can be hard. The financial impact is easy to show. Other impacts do exist.

  5. APIs can be gold mines. it's important to know how a website or app works first.

  6. ادائیگی کے گیٹ ویز یا پوائنٹس سسٹم دیکھنے کے لیے بہترین جگہیں ہیں۔

  7. قدموں کو چھوڑنے کے طریقے تلاش کریں۔

  8. یہ کیڑے پیچیدہ لیکن کافی آسان بھی ہوسکتے ہیں۔

  9. اثر تلاش کرنا مشکل ہو سکتا ہے۔ مالی اثر دکھانا آسان ہے۔ دیگر اثرات موجود ہیں.

  10. APIs سونے کی کانیں ہو سکتی ہیں۔ یہ جاننا ضروری ہے کہ ویب سائٹ یا ایپ پہلے کیسے کام کرتی ہے۔

----------------------------------------------------------------

Application Logic Bypass

PreviousMy Information Disclosure MethodologyNextApi Testing

Last updated