Business logic vulnerabilities Lab8

# Business logic vulnerabilities Lab8 本題是業務流程驗證不足（Insufficient Workflow Validation），簡單來說就是：你只要跳過付款、直接確認訂單就能買到東西。登入帳號：`wiener:peter` 一樣註冊帳號。 ![image](https://hackmd.io/_uploads/HyYKCrnDeg.png) 然後去買一個商品並觀察請求。 ![image](https://hackmd.io/_uploads/SkinCB2Pxx.png) ![image](https://hackmd.io/_uploads/SJdp0Bhvgx.png) 會看到這幾個重要的請求： ``` POST /cart/checkout → 302 Redirect → GET /cart/order-confirmation?order-confirmation=true ``` 這個請求是確認訂單的最後一步，但沒有驗證你到底有沒有付款，所以保留這個請求，然後把商品放在購物車裡面，但是不購買，就直接送出驗證付款的請求。 ![image](https://hackmd.io/_uploads/SyTqkI3Ple.png) ---