استغلال ثغرة Web Application للحصول على موارد مدفوعة مجانًا

قمت باختبار أمني لموقع يقدم محتوى مدفوع (قيمة الخدمة = 10$)، وخلال الفحص اكتشفت ثغرة من نوع Business Logic Flaw سمحت بالوصول إلى المحتوى دون الدفع.

الثغرة كانت في عملية التحقق من الدفع (Payment Validation).

وجدت أن الموقع يعتمد فقط على تحقق من جانب العميل (Client-Side Validation) بدون تحقق فعلي من الخادم.

باستخدام أدوات مثل Burp Suite قمت بالتلاعب في الطلب (Request Tampering) لتجاوز عملية الدفع.

تمكنت من الوصول إلى المحتوى المدفوع بالمجان.