Business Logic Errors / Kesalahan Logika Bisnis
Kesalahan logika bisnis, juga dikenal sebagai kelemahan logika bisnis, adalah jenis kerentanan aplikasi yang berasal dari logika bisnis aplikasi, yang merupakan bagian dari program yang berhubungan dengan aturan dan proses bisnis dunia nyata. Aturan ini dapat mencakup hal-hal seperti model penetapan harga, batasan transaksi, atau urutan operasi yang perlu diikuti dalam proses multi-langkah.
## Contoh
Tidak seperti jenis kerentanan keamanan lainnya seperti injeksi SQL atau skrip lintas situs (XSS), kesalahan logika bisnis tidak bergantung pada masalah dalam kode itu sendiri (seperti masukan pengguna tanpa filter). Sebaliknya, mereka memanfaatkan fungsi aplikasi yang normal dan diharapkan, namun menggunakannya dengan cara yang tidak diantisipasi oleh pengembang dan menimbulkan konsekuensi yang tidak diinginkan.
Contoh Umum Kesalahan Logika Bisnis.
* Tinjau Pengujian Fitur
* Nilai apakah Anda dapat memposting ulasan produk sebagai pengulas terverifikasi tanpa harus membeli item tersebut.
* Berusaha memberikan penilaian di luar skala standar, misalnya angka 0, 6, atau negatif dalam sistem skala 1 hingga 5.
* Uji apakah pengguna yang sama dapat memposting beberapa peringkat untuk satu produk. Hal ini berguna dalam mendeteksi potensi kondisi balapan.
* Tentukan apakah bidang unggah file mengizinkan semua ekstensi; pengembang sering mengabaikan perlindungan pada titik akhir ini.
* Selidiki kemungkinan memposting ulasan yang meniru identitas pengguna lain.
* Coba Pemalsuan Permintaan Lintas Situs (CSRF) pada fitur ini, karena sering kali tidak dilindungi oleh token.
* Pengujian Fitur Kode Diskon
* Coba terapkan kode diskon yang sama beberapa kali untuk menilai apakah kode tersebut dapat digunakan kembali.
* Jika kode diskon unik, evaluasi kondisi balapan dengan menerapkan kode yang sama untuk dua akun secara bersamaan.
* Uji Penugasan Massal atau Polusi Parameter HTTP untuk melihat apakah Anda dapat menerapkan beberapa kode diskon ketika aplikasi dirancang untuk menerima hanya satu.
* Uji kerentanan dari sanitasi input yang hilang seperti XSS, SQL Injection pada fitur ini.
* Mencoba menerapkan kode diskon pada item non-diskon dengan memanipulasi permintaan sisi server.
* Manipulasi Biaya Pengiriman
* Bereksperimenlah dengan nilai negatif untuk biaya pengiriman untuk melihat apakah nilai tersebut mengurangi jumlah akhir.
* Evaluasi apakah pengiriman gratis dapat diaktifkan dengan mengubah parameter.
* Arbitrase Mata Uang
* Cobalah membayar dalam satu mata uang, misalnya USD, dan minta pengembalian dana dalam mata uang lain, seperti EUR. Perbedaan tingkat konversi dapat menghasilkan keuntungan.
* Eksploitasi Fitur Premium
* Jelajahi kemungkinan mengakses bagian atau titik akhir khusus akun premium tanpa langganan yang valid.
* Beli fitur premium, batalkan, dan lihat apakah Anda masih dapat menggunakannya setelah pengembalian dana.
* Cari nilai benar/salah dalam permintaan/tanggapan yang memvalidasi akses premium. Gunakan alat seperti Burp's Match & Ganti untuk mengubah nilai-nilai ini untuk akses premium yang tidak sah.
* Tinjau cookie atau penyimpanan lokal untuk variabel yang memvalidasi akses premium.
* Eksploitasi Fitur Pengembalian Dana
* Beli produk, minta pengembalian dana, dan lihat apakah produk tetap dapat diakses.
* Carilah peluang untuk arbitrase mata uang.
* Kirimkan beberapa permintaan pembatalan berlangganan untuk memeriksa kemungkinan pengembalian dana berganda.
* Eksploitasi Keranjang/Daftar Keinginan
* Uji sistem dengan menambahkan produk dalam jumlah negatif, bersama dengan produk lainnya, untuk menyeimbangkan totalnya.
* Cobalah untuk menambahkan lebih banyak produk daripada yang tersedia.
* Periksa apakah produk di daftar keinginan atau keranjang Anda dapat dipindahkan ke keranjang pengguna lain atau dikeluarkan dari keranjang tersebut.
* Pengujian Komentar Thread
* Periksa apakah ada batasan jumlah komentar di thread.
* Jika pengguna hanya dapat berkomentar satu kali, gunakan kondisi balapan untuk melihat apakah beberapa komentar dapat diposting.
* Jika sistem mengizinkan komentar dari pengguna terverifikasi atau memiliki hak istimewa, cobalah meniru parameter ini dan lihat apakah Anda juga dapat berkomentar.
* Mencoba mengirim komentar yang meniru identitas pengguna lain.
* Parameter Gangguan
* Memanipulasi pembayaran atau bidang penting lainnya untuk mengubah nilainya.
* Dengan memanfaatkan Polusi Parameter HTTP & Penugasan Massal, tambahkan bidang tambahan atau yang tidak terduga.
* Cobalah memanipulasi respons untuk melewati batasan, seperti 2FA.