hacktricks/pentesting-web/bypass-payment-process.md

4.8 KiB
Raw Permalink Blame History

Ödeme Sürecini Atlatma

{% hint style="success" %} AWS Hacking'i öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE)
GCP Hacking'i öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)

HackTricks'i Destekleyin
{% endhint %}

Ödeme Atlatma Teknikleri

İstek Yakalama

İşlem sürecinde, istemci ve sunucu arasında değiştirilen verileri izlemek çok önemlidir. Bu, tüm istekleri yakalayarak yapılabilir. Bu istekler içinde, önemli sonuçlar doğurabilecek parametreleri arayın, örneğin:

  • Başarı: Bu parametre genellikle işlemin durumunu gösterir.
  • Referans: İsteğin nereden geldiğini gösterebilir.
  • Geri Çağırma: Bu genellikle işlem tamamlandıktan sonra kullanıcıyı yönlendirmek için kullanılır.

URL Analizi

Bir URL içeren bir parametre ile karşılaşırsanız, özellikle example.com/payment/MD5HASH desenini takip ediyorsa, daha yakından incelemek gerekir. İşte adım adım bir yaklaşım:

  1. URL'yi Kopyalayın: Parametre değerinden URL'yi çıkarın.
  2. Yeni Pencere İncelemesi: Kopyalanan URL'yi yeni bir tarayıcı penceresinde açın. Bu işlem, işlemin sonucunu anlamak için kritik öneme sahiptir.

Parametre Manipülasyonu

  1. Parametre Değerlerini Değiştirin: Başarı, Referans veya Geri Çağırma gibi parametrelerin değerlerini değiştirerek deneyin. Örneğin, bir parametreyi false'dan true'ya değiştirmek, sistemin bu girdileri nasıl işlediğini ortaya çıkarabilir.
  2. Parametreleri Kaldırın: Bazı parametreleri tamamen kaldırmayı deneyin ve sistemin nasıl tepki verdiğini görün. Bazı sistemler, beklenen parametreler eksik olduğunda geri dönüşler veya varsayılan davranışlar sergileyebilir.

Çerez Manipülasyonu

  1. Çerezleri İnceleyin: Birçok web sitesi, çerezlerde kritik bilgileri saklar. Bu çerezleri ödeme durumu veya kullanıcı kimlik doğrulaması ile ilgili veriler için inceleyin.
  2. Çerez Değerlerini Değiştirin: Çerezlerde saklanan değerleri değiştirin ve web sitesinin yanıtının veya davranışının nasıl değiştiğini gözlemleyin.

Oturum Ele Geçirme

  1. Oturum Jetonları: Ödeme sürecinde oturum jetonları kullanılıyorsa, bunları yakalamayı ve manipüle etmeyi deneyin. Bu, oturum yönetimi açıklarını anlamanıza yardımcı olabilir.

Yanıt Manipülasyonu

  1. Yanıtları Yakalayın: Sunucudan gelen yanıtları yakalamak ve analiz etmek için araçlar kullanın. Başarılı bir işlemi gösteren veya ödeme sürecindeki sonraki adımları ortaya çıkaran verileri arayın.
  2. Yanıtları Değiştirin: Yanıtlar tarayıcı veya uygulama tarafından işlenmeden önce bunları değiştirmeyi deneyin ve başarılı bir işlem senaryosunu simüle edin.

{% hint style="success" %} AWS Hacking'i öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE)
GCP Hacking'i öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)

HackTricks'i Destekleyin
{% endhint %}