mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-26 14:40:37 +00:00
5.2 KiB
5.2 KiB
Bypass del Processo di Pagamento
Impara l'hacking su AWS da zero a eroe con htARTE (Esperto Red Team AWS di HackTricks)!
Altri modi per supportare HackTricks:
- Se vuoi vedere la tua azienda pubblicizzata su HackTricks o scaricare HackTricks in PDF Controlla i PIANI DI ABBONAMENTO!
- Ottieni il merchandising ufficiale di PEASS & HackTricks
- Scopri La Famiglia PEASS, la nostra collezione di NFT esclusivi
- Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @carlospolopm.
- Condividi i tuoi trucchi di hacking inviando PR a HackTricks e HackTricks Cloud repos di github.
Try Hard Security Group
{% embed url="https://discord.gg/tryhardsecurity" %}
Tecniche di Bypass del Pagamento
Intercezione delle Richieste
Durante il processo di transazione, è cruciale monitorare i dati scambiati tra il client e il server. Questo può essere fatto intercettando tutte le richieste. All'interno di queste richieste, fai attenzione ai parametri con implicazioni significative, come:
- Successo: Questo parametro indica spesso lo stato della transazione.
- Referrer: Potrebbe indicare la fonte da cui è originata la richiesta.
- Callback: Viene tipicamente utilizzato per reindirizzare l'utente dopo che una transazione è completata.
Analisi dell'URL
Se incontri un parametro che contiene un URL, specialmente uno che segue il pattern example.com/payment/MD5HASH, richiede un'esame più attento. Ecco un approccio passo dopo passo:
- Copia l'URL: Estrai l'URL dal valore del parametro.
- Ispezione in una Nuova Finestra: Apri l'URL copiato in una nuova finestra del browser. Questa azione è fondamentale per comprendere l'esito della transazione.
Manipolazione dei Parametri
- Modifica i Valori dei Parametri: Sperimenta modificando i valori dei parametri come Successo, Referrer, o Callback. Ad esempio, cambiare un parametro da
false
atrue
a volte può rivelare come il sistema gestisce questi input. - Rimuovi i Parametri: Prova a rimuovere alcuni parametri del tutto per vedere come reagisce il sistema. Alcuni sistemi potrebbero avere fallback o comportamenti predefiniti quando mancano i parametri attesi.
Manipolazione dei Cookie
- Esamina i Cookie: Molti siti web memorizzano informazioni cruciali nei cookie. Ispeziona questi cookie per eventuali dati relativi allo stato del pagamento o all'autenticazione dell'utente.
- Modifica i Valori dei Cookie: Modifica i valori memorizzati nei cookie e osserva come cambia la risposta o il comportamento del sito web.
Dirottamento della Sessione
- Token di Sessione: Se vengono utilizzati token di sessione nel processo di pagamento, prova a catturarli e manipolarli. Questo potrebbe fornire informazioni sulle vulnerabilità della gestione delle sessioni.
Manipolazione della Risposta
- Intercetta le Risposte: Usa strumenti per intercettare e analizzare le risposte dal server. Cerca eventuali dati che potrebbero indicare una transazione riuscita o rivelare i passaggi successivi nel processo di pagamento.
- Modifica le Risposte: Prova a modificare le risposte prima che vengano elaborate dal browser o dall'applicazione per simulare uno scenario di transazione riuscita.
Try Hard Security Group
{% embed url="https://discord.gg/tryhardsecurity" %}
Impara l'hacking su AWS da zero a eroe con htARTE (Esperto Red Team AWS di HackTricks)!
Altri modi per supportare HackTricks:
- Se vuoi vedere la tua azienda pubblicizzata su HackTricks o scaricare HackTricks in PDF Controlla i PIANI DI ABBONAMENTO!
- Ottieni il merchandising ufficiale di PEASS & HackTricks
- Scopri La Famiglia PEASS, la nostra collezione di NFT esclusivi
- Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @carlospolopm.
- Condividi i tuoi trucchi di hacking inviando PR a HackTricks e HackTricks Cloud repos di github.