Framework terkadang memungkinkan developer untuk mengikat parameter request HTTP ke dalam variabel atau objek secara otomatis untuk membuat penggunaan framework tersebut mudah digunakan. Hal ini terkadang dapat menimbulkan kerugian. Penyerang terkadang dapat menggunakan metodologi ini untuk membuat parameter baru yang tidak pernah dimaksudkan oleh developer yang pada gilirannya membuat atau menimpa variabel baru dalam kode program yang tidak dimaksudkan.
- Nyalakan tool Burp Suite dan pergi ke halaman Shop dan beli salah satu item
- Pada tool Burp Suite terdeteksi endpoint
/workshop/api/shop/ordersdengan tipe requestPOSTyang digunakan untuk melakukan pemesanan
- Selain itu pada tool Burp Suite terdeteksi endpoint
/workshop/api/shop/orders/alldengan tipe requestGETyang menampilkan detail data pesanan
- Sekarang kita tekan tombol Order Details
- Pada tool Burp Suite terdeteksi endpoint
/workshop/api/shop/orders/dengan tipe requestGETyang berisi detail pemesanan dan pembayaran
- Klik kanan request tersebut dan pilih Send to Repeater
- Pindah ke tab Repeater dan klik tombol Send, pada response terdapat informasi bahwa endpoint ini mendukung jenis request
GET, POST, PUT, HEAD, OPTIONS
- Disini status pemesanan adalah
deliveredjadi kita akan ubah statusnya menjadireturnagar saldo kita kembali. Ubah tipe request dariGETmenjadiPUTdan tambahkan parameterstatusdengan nilaireturnkemudian tekan tombol Send
- Dari hasil diatas status
returntidak tersedia, status yang tersedia hanyadelivered,return pendingdanreturned. Jadi kita ubah saja valuenya menjadireturned
- Sekarang kita kembali ke halaman Shop dan saldo kita tetap seperti semula
- Lakukan pembelian lagi dan ulangi langkah diatas hingga mengirimkan endpoint
/workshop/api/shop/orders/ke tab Repaeter. Sekarang kita cukup menggunakan tipe requestPUTuntuk mengubah data pesanan, menambahkan parameterstatusdengan nilaireturnedagar saldo kita direfund sebanyak total pesanan dan menambahkan parameterquantitydengan nilai100sehingga saldo kita akan direfund sebanyak100kali lipat kemudian tekan tombol Send
- Sekarang kita kembali ke halaman Shop maka saldo kita bertambah dari
90menjadi1090
- Nyalakan tool Burp Suite dan klik foto profil untuk menuju halaman profil
- Jika My Personal Video anda terhapus di Challenge 7 (BFLA). Anda bisa mengunggah lagi dengan klik tanda titik tiga lalu pilih Upload Video
- Klik tanda titik tiga lagi dan pilih Change Video Name
- Ubah judul video sesuai dengan yang anda mau
- Pada Burp Suite akan terdeteksi endpoint
/identity/api/v2/user/videos/idyang digunakan untuk mengedit video
- Klik kanan request tersebut dan pilih Send to Repeater
- Pindah ke tab Repeater dan klik tombol Send
- Disini kita bisa menambahkan parameter
conversion_paramsdengan nilai-v codec h2lalu klik tombol Send. Setelah request terkirim kita berhasil mengubah nilaiconversion_params
