Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

GiftCards loves BurpSuite

  • 4 Respuestas
  • 3311 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado HATI

  • *
  • Moderator
  • Mensajes: 439
  • Actividad:
    1.67%
  • Reputación 13
    • Ver Perfil
« en: Abril 02, 2018, 05:35:04 pm »



Actualmente, la mayoría de las empresas relacionadas con la venta al consumidor han tenido que transformarse completamente pata adaptar su modelo de negocio a internet, que también ha ofrecido la posibilidad de crear una tienda sin apenas recursos. Esto ha dado lugar a una gran competencia y a numerosas técnicas de captación de clientes, desde promociones hasta nuestras protagonistas las tarjetas regalo o "gift cards".

La intención del post es meramente educativa y no me hago responsable del uso que haga la gente de esta información.


Generalmente, las Gift Cards suelen estar asociadas a una cuenta de usuario, sobre todo las grandes marcas cómo Nike, Apple, Amazon, etc... tienen buenas medidas de protección.
Las páginas web que utilizan este tipo de tarjetas online, permiten comprobar el crédito del que disponen las mismas, y aquí es donde viene el problema. Si la validación de la tarjeta no se hace de forma segura, es posible hacer scraping y comprobar las tarjetas con crédito para su posterior uso.

Las tarjetas regalo se protegen con los siguientes medios en la mayoría de los casos:

  • Cuenta de usuario
  • Pin secundario
  • Captcha
  • Verificación vía e-mail

Ejemplo de Giftcard check


Como he mencionado antes, Internet ha abierto las puertas a cualquier persona que quiera abrir un negocio, lo que supone miles y miles de tiendas online. Alguien que usa un sistema de Gift Cards debe saber los riesgos que supone, pero gracias a los buscadores cómo google podemos hacer una pequeña búsqueda para conseguir lo que queremos:

Una tienda con Gift Cards, que no use cuentas, ni pin secundario, ni captcha, ni verificación mail para comprobar el saldo de la tarjeta, lo que en google se traduce como
Código: [Seleccionar]
inurl:giftcardbalance OR inurl:giftcard + "check" -pin -captcha
Es solo un ejemplo, con un poco de imaginación se pueden obtener mejores resultados. Una vez llegados a este paso, podemos comprar un par de tarjetas para ver si siguen algún patron o podemos mejorar nuestro dork para obtener algo más de información:
Código: [Seleccionar]
inurl:giftcard + "check" +  "balance"  -pin -captcha + "digits"
Resultados de la búsqueda


También podemos obtener información de las respuestas:

Respuesta de tienda online


Cuando tengamos una web que cumpla los requisitos y sepamos el patron de las tarjetas, debemos crear un diccionario para usarlo en Burpsuite. Podemos hacerlo con el comando seq, crunch o cualquier otro generador de wordlists.

Configuramos el navegador y obtenemos la petición que comprueba el crédito:

Petición

Y observando la rspuesta, se comprueba que la petición es correcta.



Tras esto lo mandaremos al intruder y configuramos el ataque con el diccionario que hemos creado anteriormente. Unicamente necesitamos introducir un payload, que será el número de tarjeta a comprobar para cada petición, y configurar la captura de datos:

Burpsuite Intruder

Burpsuite Sniper Attack


Como podeis ver, solo ha hecho falta realizar 9 peticiones para obtener una tarjeta de 50$. Sería posible realizar el ataque para comprobar todas las tarjetas con saldo existentes en la web, y en este caso serían muchas, ya que es un sistema intermediario que se dedica a los pagos seguros, ofreciendo el servicio de Gift Cards a muchas webs.

Esto deja en evidencia la seguridad de las compras online en la actualidad. Es conveniente siempre comprar en webs de confianza o con reputación, y no realizar pagos de manera insegura.


Un saludo, HATI  ;)


Jugar o perder

Desconectado yopol1234567

  • *
  • Underc0der
  • Mensajes: 1
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #1 en: Abril 05, 2018, 01:37:13 pm »
Saludos amigo, interesante el aporte..

vi que todo lo hiciste en linux sera que es posible en windows.? lo intente y fracase rotundamente..!!  :-[

Desconectado HATI

  • *
  • Moderator
  • Mensajes: 439
  • Actividad:
    1.67%
  • Reputación 13
    • Ver Perfil
« Respuesta #2 en: Abril 05, 2018, 05:39:29 pm »
Lo hice desde Windows con burpsuite, excepto para crear el diccionario, que use el comando seq, como indico en el post.


Jugar o perder

Desconectado NERV0

  • *
  • Underc0der
  • Mensajes: 35
  • Actividad:
    0%
  • Reputación 5
    • Ver Perfil
« Respuesta #3 en: Abril 06, 2018, 05:30:52 pm »
Muy interesante, terrible vulnerabilidad, nunca me había imaginado que podrían dejar algo tan al descubierto, y mas cuando se trata de dinero... Gracias a este post me dieron ganas de aprender a usar BurpSuite, muy útil la herramienta, nunca le había prestado demasiada atención.

Excelente aporte, HATI !

Saludos, NERV0.
« Última modificación: Abril 06, 2018, 06:00:43 pm por NERV0 »
“Ciertos programas informáticos son el reflejo del ego académico del pelotudo que los desarrolla”

Desconectado HATI

  • *
  • Moderator
  • Mensajes: 439
  • Actividad:
    1.67%
  • Reputación 13
    • Ver Perfil
« Respuesta #4 en: Abril 06, 2018, 05:49:54 pm »
Para testear aplicaciones webs manualmente es lo mejor, @NERV0

Echa un vistazo a este, es con Burp también:

https://underc0de.org/foro/hacking/explotando-ssi-injection-desde-0/msg121734/#msg121734
« Última modificación: Abril 06, 2018, 05:53:39 pm por HATI »


Jugar o perder

 

¿Te gustó el post? COMPARTILO!



capturando e interceptando datos de red local con BurpSuite

Iniciado por BrowserNet

Respuestas: 2
Vistas: 3601
Último mensaje Mayo 24, 2016, 02:36:39 pm
por baron.power
Elaborando un ataque Brute Force en BurpSuite

Iniciado por BrowserNet

Respuestas: 1
Vistas: 2535
Último mensaje Diciembre 03, 2016, 09:50:14 pm
por Dr4g0n4Y