OwaspBWA - Insecure Client Storage

AJax Security - Insecure Client Storage

การจัดเก็บข้อมูลของ Client ที่ไม่ปลอดภัย

STAGE 1: For this exercise, your mission is to discover a coupon code to receive an unintended discount.

อธิบาย : ด่านทดสอบนี้ให้คุณค้นหา Coupon code เพื่อนำไป Submit ในช่อง Enter your coupon code:  เพื่อเป็นส่วนลดให้จงได้

  • เปิด Firebug ดู Javascript ของ Form จะพบการเรียกใช้ ไฟล์ javascript/clientSideValidation.js
ภายในมีฟังชั่นที่เกี่ยวกับกับตรวจสอบคูปอง ,และมีการประกาศ Coupon code โดยเข้ารหัสไว้

var coupons = ["nvojubmq",
"emph",
"sfwmjt",
"faopsc",
"fopttfsq",
"pxuttfsq"];

และอีกฟังชั่นที่น่าสนใจที่มีในไฟล์นี้ด้วยคือ decrypt 
นั่นคือถูกนำมาใช้ในการถอดรหัสด้านบน

  • ให้ทดสอบเรียกใช้โดยพิมบน url :  javascript : alert(decrypt("pxuttfsq")); 
จะได้ : PRESSTWO  ไปใช้ในการ submit coupon code  และจบด่านแรก

*************************************************************

STAGE 2: Now, try to get your entire order for free.
 โกงการสั่งซื้อของทั้งหมดแบบ ฟรีๆ

ในแถว Quantity ให้เลือกจำนวนสินค้าตามจำนวนที่ต้องการ
โดยในช่อง  Total to be charged to your credit card: จะระบุจำนวนเงินที่คุณจะต้องจ่าย
  •  ทำการใช้ Firebug แก้ Value="0"
จะพบกับ
 * Congratulations. You have successfully completed this lesson.
 เป็นอันจบพิธี