hacktricks/pentesting-web/bypass-payment-process.md

5.5 KiB

Umgehung des Zahlungsvorgangs

Erlernen Sie AWS-Hacking von Grund auf mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

Try Hard Security Group

{% embed url="https://discord.gg/tryhardsecurity" %}


Zahlungsumgehungstechniken

Anforderungsinterception

Während des Transaktionsprozesses ist es entscheidend, die zwischen Client und Server ausgetauschten Daten zu überwachen. Dies kann durch Abfangen aller Anfragen erfolgen. Achten Sie in diesen Anfragen auf Parameter mit erheblichen Auswirkungen, wie:

  • Erfolg: Dieser Parameter deutet oft auf den Status der Transaktion hin.
  • Referrer: Es könnte auf die Quelle hinweisen, von der die Anfrage stammt.
  • Callback: Dies wird typischerweise verwendet, um den Benutzer nach Abschluss einer Transaktion umzuleiten.

URL-Analyse

Wenn Sie auf einen Parameter stoßen, der eine URL enthält, insbesondere eine, die dem Muster example.com/payment/MD5HASH folgt, erfordert dies eine genauere Untersuchung. Hier ist eine schrittweise Vorgehensweise:

  1. URL kopieren: Extrahieren Sie die URL aus dem Parameterwert.
  2. Inspektion in neuem Fenster: Öffnen Sie die kopierte URL in einem neuen Browserfenster. Diese Aktion ist entscheidend, um das Ergebnis der Transaktion zu verstehen.

Parametermanipulation

  1. Ändern von Parameterwerten: Experimentieren Sie, indem Sie die Werte von Parametern wie Erfolg, Referrer oder Callback ändern. So kann beispielsweise das Ändern eines Parameters von false auf true manchmal aufzeigen, wie das System mit diesen Eingaben umgeht.
  2. Entfernen von Parametern: Versuchen Sie, bestimmte Parameter vollständig zu entfernen, um zu sehen, wie das System reagiert. Einige Systeme könnten Rückfälle oder Standardverhalten haben, wenn erwartete Parameter fehlen.
  1. Cookies untersuchen: Viele Websites speichern wichtige Informationen in Cookies. Überprüfen Sie diese Cookies auf Daten zum Zahlungsstatus oder zur Benutzerauthentifizierung.
  2. Ändern von Cookie-Werten: Ändern Sie die in den Cookies gespeicherten Werte und beobachten Sie, wie sich die Antwort oder das Verhalten der Website ändert.

Sitzungshijacking

  1. Sitzungstoken: Wenn Sitzungstoken im Zahlungsprozess verwendet werden, versuchen Sie, sie zu erfassen und zu manipulieren. Dies könnte Einblicke in Schwachstellen im Sitzungsmanagement geben.

Antwortmanipulation

  1. Antworten abfangen: Verwenden Sie Tools, um die Antworten vom Server abzufangen und zu analysieren. Suchen Sie nach Daten, die auf eine erfolgreiche Transaktion hinweisen oder die nächsten Schritte im Zahlungsprozess offenbaren könnten.
  2. Antworten ändern: Versuchen Sie, die Antworten zu ändern, bevor sie vom Browser oder der Anwendung verarbeitet werden, um ein Szenario einer erfolgreichen Transaktion zu simulieren.

Try Hard Security Group

{% embed url="https://discord.gg/tryhardsecurity" %}

Erlernen Sie AWS-Hacking von Grund auf mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen: