GiftCards loves BurpSuite

Iniciado por HATI, Abril 02, 2018, 05:35:04 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.




Actualmente, la mayoría de las empresas relacionadas con la venta al consumidor han tenido que transformarse completamente pata adaptar su modelo de negocio a internet, que también ha ofrecido la posibilidad de crear una tienda sin apenas recursos. Esto ha dado lugar a una gran competencia y a numerosas técnicas de captación de clientes, desde promociones hasta nuestras protagonistas las tarjetas regalo o "gift cards".

La intención del post es meramente educativa y no me hago responsable del uso que haga la gente de esta información.


Generalmente, las Gift Cards suelen estar asociadas a una cuenta de usuario, sobre todo las grandes marcas cómo Nike, Apple, Amazon, etc... tienen buenas medidas de protección.
Las páginas web que utilizan este tipo de tarjetas online, permiten comprobar el crédito del que disponen las mismas, y aquí es donde viene el problema. Si la validación de la tarjeta no se hace de forma segura, es posible hacer scraping y comprobar las tarjetas con crédito para su posterior uso.

Las tarjetas regalo se protegen con los siguientes medios en la mayoría de los casos:

  • Cuenta de usuario
  • Pin secundario
  • Captcha
  • Verificación vía e-mail

Ejemplo de Giftcard check


Como he mencionado antes, Internet ha abierto las puertas a cualquier persona que quiera abrir un negocio, lo que supone miles y miles de tiendas online. Alguien que usa un sistema de Gift Cards debe saber los riesgos que supone, pero gracias a los buscadores cómo google podemos hacer una pequeña búsqueda para conseguir lo que queremos:

Una tienda con Gift Cards, que no use cuentas, ni pin secundario, ni captcha, ni verificación mail para comprobar el saldo de la tarjeta, lo que en google se traduce como
Código: php
inurl:giftcardbalance OR inurl:giftcard + "check" -pin -captcha


Es solo un ejemplo, con un poco de imaginación se pueden obtener mejores resultados. Una vez llegados a este paso, podemos comprar un par de tarjetas para ver si siguen algún patron o podemos mejorar nuestro dork para obtener algo más de información:
Código: php
inurl:giftcard + "check" +  "balance"  -pin -captcha + "digits"


Resultados de la búsqueda


También podemos obtener información de las respuestas:

Respuesta de tienda online


Cuando tengamos una web que cumpla los requisitos y sepamos el patron de las tarjetas, debemos crear un diccionario para usarlo en Burpsuite. Podemos hacerlo con el comando No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, No tienes permitido ver los links. Registrarse o Entrar a mi cuentao cualquier otro generador de wordlists.

Configuramos el navegador y obtenemos la petición que comprueba el crédito:

Petición

Y observando la rspuesta, se comprueba que la petición es correcta.



Tras esto lo mandaremos al intruder y configuramos el ataque con el diccionario que hemos creado anteriormente. Unicamente necesitamos introducir un payload, que será el número de tarjeta a comprobar para cada petición, y configurar la captura de datos:

Burpsuite Intruder

Burpsuite Sniper Attack


Como podeis ver, solo ha hecho falta realizar 9 peticiones para obtener una tarjeta de 50$. Sería posible realizar el ataque para comprobar todas las tarjetas con saldo existentes en la web, y en este caso serían muchas, ya que es un sistema intermediario que se dedica a los pagos seguros, ofreciendo el servicio de Gift Cards a muchas webs.

Esto deja en evidencia la seguridad de las compras online en la actualidad. Es conveniente siempre comprar en webs de confianza o con reputación, y no realizar pagos de manera insegura.


Un saludo, HATI  ;)


Jugar o perder

Saludos amigo, interesante el aporte..

vi que todo lo hiciste en linux sera que es posible en windows.? lo intente y fracase rotundamente..!!  :-[

Lo hice desde Windows con burpsuite, excepto para crear el diccionario, que use el comando seq, como indico en el post.


Jugar o perder

Abril 06, 2018, 05:30:52 PM #3 Ultima modificación: Abril 06, 2018, 06:00:43 PM por NERV0
Muy interesante, terrible vulnerabilidad, nunca me había imaginado que podrían dejar algo tan al descubierto, y mas cuando se trata de dinero... Gracias a este post me dieron ganas de aprender a usar BurpSuite, muy útil la herramienta, nunca le había prestado demasiada atención.

Excelente aporte, HATI !

Saludos, NERV0.
"Ciertos programas informáticos son el reflejo del ego académico del pelotudo que los desarrolla"

Abril 06, 2018, 05:49:54 PM #4 Ultima modificación: Abril 06, 2018, 05:53:39 PM por HATI
Para testear aplicaciones webs manualmente es lo mejor, @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Echa un vistazo a este, es con Burp también:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Jugar o perder