hacktricks/pentesting-web/bypass-payment-process.md

# Pomijanie Procesu Płatności

<details>

<summary><strong>Zacznij od zera i stań się ekspertem AWS dzięki</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Inne sposoby wsparcia HackTricks:

* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) na GitHubie.

</details>


## Techniki Pomijania Płatności

### Przechwytywanie Żądań
Podczas procesu transakcji istotne jest monitorowanie danych wymienianych między klientem a serwerem. Można to zrobić poprzez przechwytywanie wszystkich żądań. W tych żądaniach zwróć uwagę na parametry o istotnym znaczeniu, takie jak:

- **Success**: Ten parametr często wskazuje na status transakcji.
- **Referrer**: Może wskazywać źródło, z którego pochodzi żądanie.
- **Callback**: Zazwyczaj używany do przekierowania użytkownika po zakończeniu transakcji.

### Analiza URL
Jeśli napotkasz parametr zawierający adres URL, zwłaszcza taki, który podąża za wzorcem _example.com/payment/MD5HASH_, wymaga to bliższej analizy. Oto krok po kroku:

1. **Skopiuj URL**: Wyodrębnij adres URL z wartości parametru.
2. **Inspekcja w Nowym Oknie**: Otwórz skopiowany adres URL w nowym oknie przeglądarki. Ta czynność jest kluczowa dla zrozumienia rezultatu transakcji.

### Manipulacja Parametrami
1. **Zmień Wartości Parametrów**: Eksperymentuj, zmieniając wartości parametrów, takich jak _Success_, _Referrer_ lub _Callback_. Na przykład zmiana parametru z `false` na `true` czasami ujawnia, w jaki sposób system obsługuje te dane wejściowe.
2. **Usuń Parametry**: Spróbuj usunąć pewne parametry całkowicie, aby zobaczyć, jak system reaguje. Niektóre systemy mogą mieć fallbacki lub domyślne zachowania, gdy oczekiwane parametry są pominięte.

### Modyfikacja Ciasteczek
1. **Zbadaj Ciasteczka**: Wiele stron internetowych przechowuje istotne informacje w ciasteczkach. Sprawdź te ciasteczka pod kątem danych dotyczących statusu płatności lub uwierzytelnienia użytkownika.
2. **Zmodyfikuj Wartości Ciasteczek**: Zmodyfikuj wartości przechowywane w ciasteczkach i obserwuj, jak zmienia się odpowiedź strony internetowej lub jej zachowanie.

### Przechwytywanie Sesji
1. **Tokeny Sesji**: Jeśli w procesie płatności używane są tokeny sesji, spróbuj przechwycić je i nimi manipulować. Może to dostarczyć wglądu w podatności zarządzania sesjami.

### Modyfikacja Odpowiedzi
1. **Przechwytywanie Odpowiedzi**: Użyj narzędzi do przechwytywania i analizowania odpowiedzi serwera. Szukaj danych wskazujących na udaną transakcję lub ujawniających kolejne kroki w procesie płatności.
2. **Modyfikacja Odpowiedzi**: Spróbuj zmodyfikować odpowiedzi przed ich przetworzeniem przez przeglądarkę lub aplikację, aby zasymulować scenariusz udanej transakcji.