Umgehung des Zahlungsvorgangs

Lernen Sie AWS-Hacking von Null auf Held mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

Wenn Sie Ihr Unternehmen in HackTricks beworben sehen möchten oder HackTricks als PDF herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
Holen Sie sich das offizielle PEASS & HackTricks-Merchandise
Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @carlospolopm.
Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repositories einreichen.

Try Hard Security Group

{% embed url="https://discord.gg/tryhardsecurity" %}

Zahlungsumgehungstechniken

Anforderungsinterception

Während des Transaktionsprozesses ist es entscheidend, die zwischen Client und Server ausgetauschten Daten zu überwachen. Dies kann durch Abfangen aller Anfragen erfolgen. Achten Sie in diesen Anfragen auf Parameter mit erheblichen Auswirkungen, wie:

Erfolg: Dieser Parameter deutet oft auf den Status der Transaktion hin.
Referrer: Er könnte auf die Quelle verweisen, von der die Anfrage stammt.
Callback: Dies wird normalerweise verwendet, um den Benutzer nach Abschluss einer Transaktion umzuleiten.

URL-Analyse

Wenn Sie auf einen Parameter stoßen, der eine URL enthält, insbesondere eine, die dem Muster example.com/payment/MD5HASH folgt, erfordert dies eine genauere Untersuchung. Hier ist eine schrittweise Vorgehensweise:

URL kopieren: Extrahieren Sie die URL aus dem Parameterwert.
Inspektion in neuem Fenster: Öffnen Sie die kopierte URL in einem neuen Browserfenster. Diese Aktion ist entscheidend, um das Ergebnis der Transaktion zu verstehen.

Parametermanipulation

Ändern von Parameterwerten: Experimentieren Sie, indem Sie die Werte von Parametern wie Erfolg, Referrer oder Callback ändern. Beispielsweise kann das Ändern eines Parameters von false auf true manchmal zeigen, wie das System mit diesen Eingaben umgeht.
Entfernen von Parametern: Versuchen Sie, bestimmte Parameter vollständig zu entfernen, um zu sehen, wie das System reagiert. Einige Systeme könnten Rückfälle oder Standardverhalten haben, wenn erwartete Parameter fehlen.

Cookies untersuchen: Viele Websites speichern wichtige Informationen in Cookies. Überprüfen Sie diese Cookies auf Daten zum Zahlungsstatus oder zur Benutzerauthentifizierung.
Ändern von Cookie-Werten: Ändern Sie die in den Cookies gespeicherten Werte und beobachten Sie, wie sich die Antwort oder das Verhalten der Website ändert.

Sitzungshijacking

Sitzungstoken: Wenn Sitzungstoken im Zahlungsprozess verwendet werden, versuchen Sie, sie zu erfassen und zu manipulieren. Dies könnte Einblicke in Schwachstellen im Sitzungsmanagement geben.

Antwortmanipulation

Antworten abfangen: Verwenden Sie Tools, um die Antworten vom Server abzufangen und zu analysieren. Suchen Sie nach Daten, die auf eine erfolgreiche Transaktion hinweisen oder die nächsten Schritte im Zahlungsprozess offenbaren könnten.
Antworten ändern: Versuchen Sie, die Antworten zu ändern, bevor sie vom Browser oder der Anwendung verarbeitet werden, um ein Szenario einer erfolgreichen Transaktion zu simulieren.