A04: Insecure Design

Tienda online con un fallo de diseño: el precio del producto se envía desde el cliente en vez de validarse en el servidor.

Laptop ProMax 15

Laptop de alto rendimiento con 16GB RAM y 512GB SSD

$1,299.99

Stock: 15 unidades

Teclado Mecánico RGB

Teclado mecánico con switches Cherry MX Blue

$89.99

Stock: 50 unidades

Monitor UltraWide 34"

Monitor curvo 34 pulgadas 144Hz

$549.99

Stock: 8 unidades

Mouse Inalámbrico

Mouse ergonómico con sensor óptico 16000 DPI

$45.99

Stock: 120 unidades

Auriculares Noise Cancel

Auriculares over-ear con cancelación activa de ruido

$199.99

Stock: 25 unidades

Webcam HD 1080p

Cámara web con micrófono integrado y autoenfoque

$69.99

Stock: 40 unidades

Hub USB-C 7 en 1

Adaptador multipuerto con HDMI, USB 3.0 y lector SD

$34.99

Stock: 75 unidades

SSD Externo 1TB

Disco de estado sólido portátil USB 3.2

$109.99

Stock: 30 unidades

🎯 Escenario de Pentesting

Esta tienda tiene un fallo de diseño: el precio se envía como campo oculto del formulario HTML en vez de obtenerse de la base de datos al procesar la compra.

Intenta lo siguiente:

Abrí las DevTools del navegador (F12)
Inspeccioná el formulario de cualquier producto
Buscá el input type="hidden" name="price"
Cambiá el valor a 0.01
Hacé clic en "Comprar"

Si la compra se procesa con el precio que vos pusiste, confirmaste el fallo de diseño. Un sistema bien diseñado NUNCA confía en datos del cliente para lógica de negocio crítica.