never rely on user input!

[escalation666]

observ ca se mai practica hidden forms care accepta si au incredere in inputul userilor...un exemplu este acest shop

iar'>http://shop.earlyholdens.com/

iar aici este un screen in care incercam sa cumpar un produs cu 1 dolar (si care evident costa mult mai mult)

http://img124.imageshack.us/img124/399/screen1bmplp1.png

[buRn]

dar nu inteleg ce caut la exploituri !?

[Guest flama]

StreSs wrote: dar nu inteleg ce caut la exploituri !?

este un vuln ... merge ... unde vroiai sa il puna la xss ? Props esca

[buRn]

stiu ca este o vulnerabilitate ! In al doilea rand Majoritate nu situ chesta cu "disable form" deaia am zis ! trebea sa le-o zica la cei care nu stiu !

[crystygye]

am o intrebare.daca ai facut chestia aia cu un dolar, ai primit coletu si ai platit doar 1 dolar? sau au facut verificari si ti-a tras din cc cat a trebuit?

[escalation666]

este doar un PoC...n-am continuat cu procesarea comenzii...si oricum n-as fi platit un dolar australian...mai era si shippingul de 30 de $...care vrea sa incerce...n-are decat

[crystygye]

intrebasem ca chestie.ca am citit despre asta pe un forum sau site acum mai multa vreme.si chiar eram curios daca a cumparat cineva, si chiar a mers (primit coletu)

[4n4rchyl04d3r]

cat ai platit,dk ai platit 1$ ma sinucid

[ENCODED]

4n4rchyl04d3r wrote: cat ai platit,dk ai platit 1$ ma sinucid

1+30 = 31 $

[4n4rchyl04d3r]