hacktricks/pentesting-web/bypass-payment-process.md

# 결제 우회 프로세스

{% hint style="success" %}
AWS 해킹 배우기 및 연습하기:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
GCP 해킹 배우기 및 연습하기: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>HackTricks 지원하기</summary>

* [**구독 계획**](https://github.com/sponsors/carlospolop) 확인하기!
* **💬 [**Discord 그룹**](https://discord.gg/hRep4RUj7f) 또는 [**텔레그램 그룹**](https://t.me/peass)에 참여하거나 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**를 팔로우하세요.**
* **[**HackTricks**](https://github.com/carlospolop/hacktricks) 및 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.**

</details>
{% endhint %}

## 결제 우회 기술

### 요청 가로채기
거래 과정에서 클라이언트와 서버 간에 교환되는 데이터를 모니터링하는 것이 중요합니다. 이는 모든 요청을 가로채는 방식으로 수행할 수 있습니다. 이러한 요청 내에서 중요한 의미를 지닌 매개변수를 주의 깊게 살펴보세요:

- **Success**: 이 매개변수는 종종 거래의 상태를 나타냅니다.
- **Referrer**: 요청이 발생한 출처를 가리킬 수 있습니다.
- **Callback**: 이는 일반적으로 거래가 완료된 후 사용자를 리디렉션하는 데 사용됩니다.

### URL 분석
URL을 포함하는 매개변수를 발견하면, 특히 _example.com/payment/MD5HASH_ 패턴을 따르는 경우, 더 면밀히 조사해야 합니다. 단계별 접근 방식은 다음과 같습니다:

1. **URL 복사**: 매개변수 값에서 URL을 추출합니다.
2. **새 창 검사**: 복사한 URL을 새 브라우저 창에서 엽니다. 이 작업은 거래 결과를 이해하는 데 중요합니다.

### 매개변수 조작
1. **매개변수 값 변경**: _Success_, _Referrer_, 또는 _Callback_과 같은 매개변수의 값을 변경해 보세요. 예를 들어, 매개변수를 `false`에서 `true`로 변경하면 시스템이 이러한 입력을 처리하는 방식을 드러낼 수 있습니다.
2. **매개변수 제거**: 특정 매개변수를 완전히 제거하여 시스템이 어떻게 반응하는지 확인해 보세요. 일부 시스템은 예상되는 매개변수가 없을 때 대체 동작이나 기본 동작을 가질 수 있습니다.

### 쿠키 변조
1. **쿠키 검사**: 많은 웹사이트가 쿠키에 중요한 정보를 저장합니다. 결제 상태나 사용자 인증과 관련된 데이터를 위해 이러한 쿠키를 검사하세요.
2. **쿠키 값 수정**: 쿠키에 저장된 값을 변경하고 웹사이트의 응답이나 동작이 어떻게 변하는지 관찰하세요.

### 세션 하이재킹
1. **세션 토큰**: 결제 과정에서 세션 토큰이 사용되는 경우, 이를 캡처하고 조작해 보세요. 이는 세션 관리 취약점에 대한 통찰력을 제공할 수 있습니다.

### 응답 변조
1. **응답 가로채기**: 도구를 사용하여 서버의 응답을 가로채고 분석하세요. 성공적인 거래를 나타내거나 결제 과정의 다음 단계를 드러낼 수 있는 데이터를 찾아보세요.
2. **응답 수정**: 브라우저나 애플리케이션에서 처리되기 전에 응답을 수정하여 성공적인 거래 시나리오를 시뮬레이션해 보세요.

{% hint style="success" %}
AWS 해킹 배우기 및 연습하기:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
GCP 해킹 배우기 및 연습하기: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>HackTricks 지원하기</summary>

* [**구독 계획**](https://github.com/sponsors/carlospolop) 확인하기!
* **💬 [**Discord 그룹**](https://discord.gg/hRep4RUj7f) 또는 [**텔레그램 그룹**](https://t.me/peass)에 참여하거나 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**를 팔로우하세요.**
* **[**HackTricks**](https://github.com/carlospolop/hacktricks) 및 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.**

</details>
{% endhint %}
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:16:40 +00:00			`# 결제 우회 프로세스`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:16:40 +00:00			`{% hint style="success" %}`
			`AWS 해킹 배우기 및 연습하기:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[HackTricks Training AWS Red Team Expert (ARTE)](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\`
			`GCP 해킹 배우기 및 연습하기: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[HackTricks Training GCP Red Team Expert (GRTE)<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:16:40 +00:00			`<details>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:16:40 +00:00			`<summary>HackTricks 지원하기</summary>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:16:40 +00:00			`* [구독 계획](https://github.com/sponsors/carlospolop) 확인하기!`
			`* 💬 [Discord 그룹](https://discord.gg/hRep4RUj7f) 또는 [텔레그램 그룹](https://t.me/peass)에 참여하거나 Twitter 🐦 [@hacktricks\_live](https://twitter.com/hacktricks\_live)를 팔로우하세요.**`
			`* [HackTricks](https://github.com/carlospolop/hacktricks) 및 [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:16:40 +00:00			`{% endhint %}`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Korean 2024-02-10 21:30:13 +00:00			`## 결제 우회 기술`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Korean 2024-02-10 21:30:13 +00:00			`### 요청 가로채기`
Translated ['README.md', 'crypto-and-stego/hash-length-extension-attack. 2024-09-04 13:31:55 +00:00			`거래 과정에서 클라이언트와 서버 간에 교환되는 데이터를 모니터링하는 것이 중요합니다. 이는 모든 요청을 가로채는 방식으로 수행할 수 있습니다. 이러한 요청 내에서 중요한 의미를 지닌 매개변수를 주의 깊게 살펴보세요:`
a 2024-02-06 03:10:38 +00:00
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:16:40 +00:00			`- Success: 이 매개변수는 종종 거래의 상태를 나타냅니다.`
			`- Referrer: 요청이 발생한 출처를 가리킬 수 있습니다.`
			`- Callback: 이는 일반적으로 거래가 완료된 후 사용자를 리디렉션하는 데 사용됩니다.`
a 2024-02-06 03:10:38 +00:00
Translated to Korean 2024-02-10 21:30:13 +00:00			`### URL 분석`
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:16:40 +00:00			`URL을 포함하는 매개변수를 발견하면, 특히 _example.com/payment/MD5HASH_ 패턴을 따르는 경우, 더 면밀히 조사해야 합니다. 단계별 접근 방식은 다음과 같습니다:`
a 2024-02-06 03:10:38 +00:00
Translated ['README.md', 'forensics/basic-forensic-methodology/partition 2024-03-14 23:45:38 +00:00			`1. URL 복사: 매개변수 값에서 URL을 추출합니다.`
Translated to Korean 2024-02-10 21:30:13 +00:00			`2. 새 창 검사: 복사한 URL을 새 브라우저 창에서 엽니다. 이 작업은 거래 결과를 이해하는 데 중요합니다.`
a 2024-02-06 03:10:38 +00:00
Translated to Korean 2024-02-10 21:30:13 +00:00			`### 매개변수 조작`
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:16:40 +00:00			1. 매개변수 값 변경: _Success_, _Referrer_, 또는 _Callback_과 같은 매개변수의 값을 변경해 보세요. 예를 들어, 매개변수를 `false`에서 `true`로 변경하면 시스템이 이러한 입력을 처리하는 방식을 드러낼 수 있습니다.
			`2. 매개변수 제거: 특정 매개변수를 완전히 제거하여 시스템이 어떻게 반응하는지 확인해 보세요. 일부 시스템은 예상되는 매개변수가 없을 때 대체 동작이나 기본 동작을 가질 수 있습니다.`
a 2024-02-06 03:10:38 +00:00
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:16:40 +00:00			`### 쿠키 변조`
			`1. 쿠키 검사: 많은 웹사이트가 쿠키에 중요한 정보를 저장합니다. 결제 상태나 사용자 인증과 관련된 데이터를 위해 이러한 쿠키를 검사하세요.`
Translated to Korean 2024-02-10 21:30:13 +00:00			`2. 쿠키 값 수정: 쿠키에 저장된 값을 변경하고 웹사이트의 응답이나 동작이 어떻게 변하는지 관찰하세요.`
a 2024-02-06 03:10:38 +00:00
Translated to Korean 2024-02-10 21:30:13 +00:00			`### 세션 하이재킹`
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:16:40 +00:00			`1. 세션 토큰: 결제 과정에서 세션 토큰이 사용되는 경우, 이를 캡처하고 조작해 보세요. 이는 세션 관리 취약점에 대한 통찰력을 제공할 수 있습니다.`

			`### 응답 변조`
			`1. 응답 가로채기: 도구를 사용하여 서버의 응답을 가로채고 분석하세요. 성공적인 거래를 나타내거나 결제 과정의 다음 단계를 드러낼 수 있는 데이터를 찾아보세요.`
Translated ['README.md', 'crypto-and-stego/hash-length-extension-attack. 2024-09-04 13:31:55 +00:00			`2. 응답 수정: 브라우저나 애플리케이션에서 처리되기 전에 응답을 수정하여 성공적인 거래 시나리오를 시뮬레이션해 보세요.`
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:16:40 +00:00
			`{% hint style="success" %}`
			`AWS 해킹 배우기 및 연습하기:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[HackTricks Training AWS Red Team Expert (ARTE)](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\`
			`GCP 해킹 배우기 및 연습하기: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[HackTricks Training GCP Red Team Expert (GRTE)<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)`

			`<details>`
a 2024-02-06 03:10:38 +00:00
Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:16:40 +00:00			`<summary>HackTricks 지원하기</summary>`

			`* [구독 계획](https://github.com/sponsors/carlospolop) 확인하기!`
			`* 💬 [Discord 그룹](https://discord.gg/hRep4RUj7f) 또는 [텔레그램 그룹](https://t.me/peass)에 참여하거나 Twitter 🐦 [@hacktricks\_live](https://twitter.com/hacktricks\_live)를 팔로우하세요.**`
			`* [HackTricks](https://github.com/carlospolop/hacktricks) 및 [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.`

			`</details>`
			`{% endhint %}`