mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-30 00:20:59 +00:00
3.9 KiB
3.9 KiB
Técnicas de Bypass de Pago
Aprende hacking en AWS de cero a héroe con htARTE (Experto en Red de HackTricks AWS)!
Otras formas de apoyar a HackTricks:
- Si deseas ver tu empresa anunciada en HackTricks o descargar HackTricks en PDF Consulta los PLANES DE SUSCRIPCIÓN!
- Obtén el oficial PEASS & HackTricks swag
- Descubre La Familia PEASS, nuestra colección exclusiva de NFTs
- Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @carlospolopm.
- Comparte tus trucos de hacking enviando PRs a los repositorios de HackTricks y HackTricks Cloud.
Grupo de Seguridad Try Hard
{% embed url="https://discord.gg/tryhardsecurity" %}
Técnicas de Bypass de Pago
Intercepción de Solicitudes
Durante el proceso de transacción, es crucial monitorear los datos intercambiados entre el cliente y el servidor. Esto se puede hacer interceptando todas las solicitudes. Dentro de estas solicitudes, busca parámetros con implicaciones significativas, como:
- Éxito: Este parámetro a menudo indica el estado de la transacción.
- Referente: Puede apuntar al origen desde donde se originó la solicitud.
- Callback: Esto se utiliza típicamente para redirigir al usuario después de que se complete una transacción.
Análisis de URL
Si encuentras un parámetro que contiene una URL, especialmente una que sigue el patrón ejemplo.com/pago/MD5HASH, requiere un examen más detenido. Aquí tienes un enfoque paso a paso:
- Copiar la URL: Extrae la URL del valor del parámetro.
- Inspección en una Nueva Ventana: Abre la URL copiada en una nueva ventana del navegador. Esta acción es crucial para comprender el resultado de la transacción.
Manipulación de Parámetros
- Cambiar los Valores de los Parámetros: Experimenta alterando los valores de parámetros como Éxito, Referente o Callback. Por ejemplo, cambiar un parámetro de
false
atrue
a veces puede revelar cómo el sistema maneja estas entradas. - Eliminar Parámetros: Intenta eliminar ciertos parámetros por completo para ver cómo reacciona el sistema. Algunos sistemas podrían tener alternativas o comportamientos predeterminados cuando faltan parámetros esperados.
Manipulación de Cookies
- Examinar Cookies: Muchos sitios web almacenan información crucial en cookies. Inspecciona estas cookies en busca de datos relacionados con el estado del pago o la autenticación del usuario.
- Modificar los Valores de las Cookies: Altera los valores almacenados en las cookies y observa cómo cambia la respuesta o el comportamiento del sitio web.
Secuestro de Sesiones
- Tokens de Sesión: Si se utilizan tokens de sesión en el proceso de pago, intenta capturarlos y manipularlos. Esto podría proporcionar información sobre vulnerabilidades en la gestión de sesiones.
Manipulación de Respuestas
- Interceptar Respuestas: Utiliza herramientas para interceptar y analizar las respuestas del servidor. Busca cualquier dato que pueda indicar una transacción exitosa o revelar los próximos pasos en el proceso de pago.
- Modificar Respuestas: Intenta modificar las respuestas antes de que sean procesadas por el navegador o la aplicación para simular un escenario de transacción exitosa.