Kodda xato yo'q. Sintaksis toza. Dastur aynan dasturchi yozgandek ishlaydi.
Muammo shundaki — dasturchi bitta senariyni hisobga olmagan Va o'sha senariy — hackerning yo'li.
Ancha oldin bir marketplace'ni pentest qilayotgandim. Oddiy online do'kon — mahsulot tanlaysiz, manzil kiritasiz, yetkazib beriladi. Minglab shunday saytlardan biri.
Request/response chain'ni kuzatdim:

1 — Mahsulot tanlanadi → savatga tushadi
2 — "Rasmiylashtirish" bosiladi
3 — Tizim manzilni so'raydi, foydalanuvchi kiritadi
4 — Server uyingizgacha bo'lgan masofani hisoblab, yetkazib berish narxini frontend'ga qaytaradi
5 — "Buyurtma berish" bosilganda → product_id + product_price + delivery_price server'ga yuboriladi
Mahsulot narxiga tegib bo'lmaydi chunlki product_id UID server product_id'ga qarab price qaytaradi. Client 1 so'm yuborsa ham, server bazadan haqiqiy narxni oladi. Bu joyda backend to'g'ri yozilgan.
Lekin delivery_price parametri client tomondan keladi. Va server uni hech tekshirmasdan, shunchaki product_price + delivery_price qilib jami summaga qo'shadi.

Bir savol tug'ildi. Agar delivery_price = -20000 yuborsam-chi? 🌚
Server oddiy "+" amalini bajaradi. Minus songa "+" - bu ayirish.

Mahsulot: 100.000 so'm
Yetkazib berish: -99.000 so'm
Jami: 1.000 so'm 😁
QR-code aynan 1.000 so'mga generatsiya bo'ldi. To'ladim.
2 kundan keyin kuryer 100.000 so'mlik mahsulotni uyimga olib keldi. 📦 PoC tayyor )))).