hacktricks/pentesting-web/bypass-payment-process.md

# भुगतान प्रक्रिया को अनदेखा करना

<details>

<summary><strong>जानें AWS हैकिंग को शून्य से हीरो तक</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong> के साथ!</strong></summary>

HackTricks का समर्थन करने के अन्य तरीके:

* यदि आप अपनी कंपनी का विज्ञापन **HackTricks** में देखना चाहते हैं या **HackTricks को PDF में डाउनलोड** करना चाहते हैं तो [**सब्सक्रिप्शन प्लान्स**](https://github.com/sponsors/carlospolop) देखें!
* [**आधिकारिक PEASS और HackTricks स्वैग**](https://peass.creator-spring.com) प्राप्त करें
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family) की खोज करें, हमारा विशेष [**NFTs**](https://opensea.io/collection/the-peass-family) संग्रह
* **शामिल हों** 💬 [**डिस्कॉर्ड समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) या हमें **ट्विटर** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)** पर **फॉलो** करें।
* **हैकिंग ट्रिक्स साझा करें** द्वारा PRs सबमिट करके [**HackTricks**](https://github.com/carlospolop/hacktricks) और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

</details>

**Try Hard सुरक्षा समूह**

<figure><img src="../.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>

{% embed url="https://discord.gg/tryhardsecurity" %}

***

## भुगतान बायपास तकनीकें

### अनुरोध अंधापन
लेन-देन प्रक्रिया के दौरान, ग्राहक और सर्वर के बीच विनिमय हो रहे डेटा का मॉनिटर करना महत्वपूर्ण है। इसे सभी अनुरोधों को अंधापन करके किया जा सकता है। इन अनुरोधों में, महत्वपूर्ण प्रभावों वाले पैरामीटर्स के लिए देखें, जैसे:

- **सफलता**: यह पैरामीटर अक्सर लेन-देन की स्थिति को दर्शाता है।
- **रेफरर**: यह अक्सर उस स्रोत की ओर इशारा कर सकता है जहां से अनुरोध आरंभ हुआ था।
- **कॉलबैक**: यह सामान्यत: लेन-देन पूरा होने के बाद उपयोग के लिए उपयोग किया जाता है।

### URL विश्लेषण
यदि आपको एक पैरामीटर मिलता है जो एक URL को शामिल करता है, विशेषकर एक जो _उदाहरण.com/भुगतान/MD5HASH_ पैटर्न का पालन करता है, तो इसे अधिक ध्यान से देखने की आवश्यकता है। यहां एक कदम-से-कदम दृष्टिकोण है:

1. **URL की प्रतिलिपि**: पैरामीटर मान से URL निकालें।
2. **नई विंडो निरीक्षण**: कॉपी किए गए URL को एक नई ब्राउज़र विंडो में खोलें। यह कार्रवाई लेन-देन के परिणाम को समझने के लिए महत्वपूर्ण है।

### पैरामीटर मेनिपुलेशन
1. **पैरामीटर मानों को बदलें**: _सफलता_, _रेफरर_, या _कॉलबैक_ जैसे पैरामीटर्स के मानों को बदलकर प्रयोग करें। उदाहरण के लिए, `false` से `true` में पैरामीटर बदलने से कभी-कभी प्रणाली के इनपुट को कैसे संभालती है यह पता चल सकता है।
2. **पैरामीटर्स को हटाएं**: कुछ प्रणालियाँ यह देखने के लिए कि प्रणाली कैसे प्रतिक्रिया करती है जब अपेक्षित पैरामीटर्स गायब होते हैं।

### कुकी टैम्परिंग
1. **कुकी जांचें**: कई वेबसाइट्स कुकी में महत्वपूर्ण जानकारी संग्रहित करती हैं। भुगतान स्थिति या उपयोगकर्ता प्रमाणीकरण से संबंधित किसी भी डेटा के लिए इन कुकीज की जांच करें।
2. **कुकी मानों को संशोधित करें**: कुकीज में संग्रहित मानों को बदलें और देखें कि वेबसाइट की प्रतिक्रिया या व्यवहार कैसे बदलता है।

### सत्र हाइजैकिंग
1. **सत्र टोकन्स**: यदि भुगतान प्रक्रिया में सत्र टोकन्स का उपयोग होता है, तो उन्हें पकड़ने और मानिपुलेट करने का प्रयास करें। यह सत्र प्रबंधन की कमियों के बारे में अंदाजा लगा सकता है।

### प्रतिक्रिया टैम्परिंग
1. **प्रतिक्रियाएं अंधापन करें**: सर्वर से प्रतिक्रियाएं अंधापन करने और विश्लेषण करने के लिए उपकरणों का उपयोग करें। सफल लेन-देन की सूचना या भुगतान प्रक्रिया में अगले कदमों को प्रकट करने वाला कोई डेटा खोजें।
2. **प्रतिक्रियाएं संशोधित करें**: एक सफल लेन-देन स्थिति का अनुकरण करने के लिए प्रतिक्रियाएं संशोधित करने का प्रयास करें जो ब्राउज़र या एप्लिकेशन द्वारा प्रसंस्कृत होने से पहले होता है।

**Try Hard सुरक्षा समूह**

<figure><img src="../.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>

{% embed url="https://discord.gg/tryhardsecurity" %}

<details>

<summary><strong>जानें AWS हैकिंग को शून्य से हीरो तक</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong> के साथ!</strong></summary>

HackTricks का समर्थन करने के अन्य तरीके:

* यदि आप अपनी कंपनी का विज्ञापन **HackTricks** में देखना चाहते हैं या **HackTricks को PDF में डाउनलोड** करना चाहते हैं तो [**सब्सक्रिप्शन प्लान्स**](https://github.com/sponsors/carlospolop) देखें!
* [**आधिकारिक PEASS और HackTricks स्वैग**](https://peass.creator-spring.com) प्राप्त करें
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family) की खोज करें, हमारा विशेष [**NFTs**](https://opensea.io/collection/the-peass-family) संग्रह
* **शामिल हों** 💬 [**डिस्कॉर्ड समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) या हमें **ट्विटर** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)** पर **फॉलो** करें।
* **हैकिंग ट्रिक्स साझा करें** द्वारा PRs सबमिट करके [**HackTricks**](https://github.com/carlospolop/hacktricks) और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

</details>