mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-23 05:03:35 +00:00
73 lines
5.5 KiB
Markdown
73 lines
5.5 KiB
Markdown
# Umgehung des Zahlungsvorgangs
|
|
|
|
<details>
|
|
|
|
<summary><strong>Erlernen Sie AWS-Hacking von Grund auf mit</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
|
|
|
|
Andere Möglichkeiten, HackTricks zu unterstützen:
|
|
|
|
* Wenn Sie Ihr **Unternehmen in HackTricks beworben sehen möchten** oder **HackTricks als PDF herunterladen möchten**, überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
|
|
* Holen Sie sich das [**offizielle PEASS & HackTricks-Merch**](https://peass.creator-spring.com)
|
|
* Entdecken Sie [**The PEASS Family**](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [**NFTs**](https://opensea.io/collection/the-peass-family)
|
|
* **Treten Sie der** 💬 [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folgen** Sie uns auf **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
|
|
* **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die** [**HackTricks**](https://github.com/carlospolop/hacktricks) und [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub-Repositories einreichen.
|
|
|
|
</details>
|
|
|
|
**Try Hard Security Group**
|
|
|
|
<figure><img src="/.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>
|
|
|
|
{% embed url="https://discord.gg/tryhardsecurity" %}
|
|
|
|
***
|
|
|
|
## Zahlungsumgehungstechniken
|
|
|
|
### Anforderungsinterception
|
|
Während des Transaktionsprozesses ist es entscheidend, die zwischen Client und Server ausgetauschten Daten zu überwachen. Dies kann durch Abfangen aller Anfragen erfolgen. Achten Sie in diesen Anfragen auf Parameter mit erheblichen Auswirkungen, wie:
|
|
|
|
- **Erfolg**: Dieser Parameter deutet oft auf den Status der Transaktion hin.
|
|
- **Referrer**: Es könnte auf die Quelle hinweisen, von der die Anfrage stammt.
|
|
- **Callback**: Dies wird typischerweise verwendet, um den Benutzer nach Abschluss einer Transaktion umzuleiten.
|
|
|
|
### URL-Analyse
|
|
Wenn Sie auf einen Parameter stoßen, der eine URL enthält, insbesondere eine, die dem Muster _example.com/payment/MD5HASH_ folgt, erfordert dies eine genauere Untersuchung. Hier ist eine schrittweise Vorgehensweise:
|
|
|
|
1. **URL kopieren**: Extrahieren Sie die URL aus dem Parameterwert.
|
|
2. **Inspektion in neuem Fenster**: Öffnen Sie die kopierte URL in einem neuen Browserfenster. Diese Aktion ist entscheidend, um das Ergebnis der Transaktion zu verstehen.
|
|
|
|
### Parametermanipulation
|
|
1. **Ändern von Parameterwerten**: Experimentieren Sie, indem Sie die Werte von Parametern wie _Erfolg_, _Referrer_ oder _Callback_ ändern. So kann beispielsweise das Ändern eines Parameters von `false` auf `true` manchmal aufzeigen, wie das System mit diesen Eingaben umgeht.
|
|
2. **Entfernen von Parametern**: Versuchen Sie, bestimmte Parameter vollständig zu entfernen, um zu sehen, wie das System reagiert. Einige Systeme könnten Rückfälle oder Standardverhalten haben, wenn erwartete Parameter fehlen.
|
|
|
|
### Cookie-Manipulation
|
|
1. **Cookies untersuchen**: Viele Websites speichern wichtige Informationen in Cookies. Überprüfen Sie diese Cookies auf Daten zum Zahlungsstatus oder zur Benutzerauthentifizierung.
|
|
2. **Ändern von Cookie-Werten**: Ändern Sie die in den Cookies gespeicherten Werte und beobachten Sie, wie sich die Antwort oder das Verhalten der Website ändert.
|
|
|
|
### Sitzungshijacking
|
|
1. **Sitzungstoken**: Wenn Sitzungstoken im Zahlungsprozess verwendet werden, versuchen Sie, sie zu erfassen und zu manipulieren. Dies könnte Einblicke in Schwachstellen im Sitzungsmanagement geben.
|
|
|
|
### Antwortmanipulation
|
|
1. **Antworten abfangen**: Verwenden Sie Tools, um die Antworten vom Server abzufangen und zu analysieren. Suchen Sie nach Daten, die auf eine erfolgreiche Transaktion hinweisen oder die nächsten Schritte im Zahlungsprozess offenbaren könnten.
|
|
2. **Antworten ändern**: Versuchen Sie, die Antworten zu ändern, bevor sie vom Browser oder der Anwendung verarbeitet werden, um ein Szenario einer erfolgreichen Transaktion zu simulieren.
|
|
|
|
**Try Hard Security Group**
|
|
|
|
<figure><img src="/.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>
|
|
|
|
{% embed url="https://discord.gg/tryhardsecurity" %}
|
|
|
|
<details>
|
|
|
|
<summary><strong>Erlernen Sie AWS-Hacking von Grund auf mit</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
|
|
|
|
Andere Möglichkeiten, HackTricks zu unterstützen:
|
|
|
|
* Wenn Sie Ihr **Unternehmen in HackTricks beworben sehen möchten** oder **HackTricks als PDF herunterladen möchten**, überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
|
|
* Holen Sie sich das [**offizielle PEASS & HackTricks-Merch**](https://peass.creator-spring.com)
|
|
* Entdecken Sie [**The PEASS Family**](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [**NFTs**](https://opensea.io/collection/the-peass-family)
|
|
* **Treten Sie der** 💬 [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folgen** Sie uns auf **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
|
|
* **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die** [**HackTricks**](https://github.com/carlospolop/hacktricks) und [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub-Repositories einreichen.
|
|
|
|
</details>
|