[PortSwigger] Lab: Finding and exploiting an unused API endpoint

登入，加入Lightweight l33t Leather Jacket 到購物車，結帳
發現是錢不夠

看前端js
https://0a63004a0420062c80b83ad30022000c.web-security-academy.net/resources/js/api/productPrice.js

會去拿product的價格

找到api

改成post ，發現product有個patch可以用

改成patch，提示content-type不合

加content-type & body，提示非負整整

改成0，把Lightweight l33t Leather Jacket 的價格變成0，就可以結帳