# Bypass Payment Process
{% hint style="success" %}
Learn & practice AWS Hacking:
[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
Learn & practice GCP Hacking: 
[**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
Support HackTricks
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 馃挰 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 馃惁 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
{% endhint %}
## Techniki Omini臋cia P艂atno艣ci
### Przechwytywanie 呕膮da艅
Podczas procesu transakcji kluczowe jest monitorowanie danych wymienianych mi臋dzy klientem a serwerem. Mo偶na to zrobi膰, przechwytuj膮c wszystkie 偶膮dania. W tych 偶膮daniach zwr贸膰 uwag臋 na parametry o znacz膮cych implikacjach, takie jak:
- **Success**: Ten parametr cz臋sto wskazuje status transakcji.
- **Referrer**: Mo偶e wskazywa膰 藕r贸d艂o, z kt贸rego pochodzi艂o 偶膮danie.
- **Callback**: Zwykle u偶ywany do przekierowywania u偶ytkownika po zako艅czeniu transakcji.
### Analiza URL
Je艣li napotkasz parametr zawieraj膮cy URL, szczeg贸lnie jeden pod膮偶aj膮cy za wzorem _example.com/payment/MD5HASH_, wymaga to dok艂adniejszej analizy. Oto podej艣cie krok po kroku:
1. **Skopiuj URL**: Wyodr臋bnij URL z warto艣ci parametru.
2. **Inspekcja w Nowym Oknie**: Otw贸rz skopiowany URL w nowym oknie przegl膮darki. Ta akcja jest kluczowa dla zrozumienia wyniku transakcji.
### Manipulacja Parametrami
1. **Zmie艅 Warto艣ci Parametr贸w**: Eksperymentuj, zmieniaj膮c warto艣ci parametr贸w takich jak _Success_, _Referrer_ lub _Callback_. Na przyk艂ad, zmiana parametru z `false` na `true` mo偶e czasami ujawni膰, jak system obs艂uguje te dane wej艣ciowe.
2. **Usu艅 Parametry**: Spr贸buj usun膮膰 niekt贸re parametry ca艂kowicie, aby zobaczy膰, jak system reaguje. Niekt贸re systemy mog膮 mie膰 mechanizmy awaryjne lub domy艣lne zachowania, gdy oczekiwane parametry s膮 nieobecne.
### Manipulacja Ciasteczkami
1. **Zbadaj Ciasteczka**: Wiele stron internetowych przechowuje kluczowe informacje w ciasteczkach. Sprawd藕 te ciasteczka pod k膮tem danych zwi膮zanych ze statusem p艂atno艣ci lub uwierzytelnieniem u偶ytkownika.
2. **Zmie艅 Warto艣ci Ciasteczek**: Zmie艅 warto艣ci przechowywane w ciasteczkach i obserwuj, jak zmienia si臋 odpowied藕 lub zachowanie strony internetowej.
### Przechwytywanie Sesji
1. **Tokeny Sesji**: Je艣li w procesie p艂atno艣ci u偶ywane s膮 tokeny sesji, spr贸buj je przechwyci膰 i manipulowa膰 nimi. Mo偶e to da膰 wgl膮d w luki w zarz膮dzaniu sesjami.
### Manipulacja Odpowiedziami
1. **Przechwytywanie Odpowiedzi**: U偶yj narz臋dzi do przechwytywania i analizy odpowiedzi z serwera. Szukaj danych, kt贸re mog膮 wskazywa膰 na udan膮 transakcj臋 lub ujawnia膰 nast臋pne kroki w procesie p艂atno艣ci.
2. **Modyfikacja Odpowiedzi**: Spr贸buj zmodyfikowa膰 odpowiedzi przed ich przetworzeniem przez przegl膮dark臋 lub aplikacj臋, aby zasymulowa膰 scenariusz udanej transakcji.
{% hint style="success" %}
Learn & practice AWS Hacking:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
Learn & practice GCP Hacking: [**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
Support HackTricks
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 馃挰 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 馃惁 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
{% endhint %}