결제 우회 기법

htARTE (HackTricks AWS Red Team Expert)를 통해 AWS 해킹을 처음부터 전문가까지 배워보세요!

HackTricks를 지원하는 다른 방법:

회사를 HackTricks에서 광고하거나 HackTricks를 PDF로 다운로드하려면 SUBSCRIPTION PLANS를 확인하세요!
공식 PEASS & HackTricks 스웨그를 얻으세요.
The PEASS Family를 탐색해보세요. 독점적인 NFTs 컬렉션입니다.
💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 Twitter 🐦 @carlospolopm을 팔로우하세요.
HackTricks와 HackTricks Cloud github 저장소에 PR을 제출하여 해킹 트릭을 공유하세요.

가장 중요한 취약점을 찾아서 빠르게 수정하세요. Intruder는 공격 대상을 추적하고 적극적인 위협 스캔을 실행하여 API부터 웹 앱 및 클라우드 시스템까지 전체 기술 스택에서 문제를 찾습니다. 무료로 시도해보세요 오늘.

결제 우회 기술

거래 과정에서 클라이언트와 서버 간에 교환되는 데이터를 모니터링하는 것이 중요합니다. 이를 위해 모든 요청을 가로채는 것이 가능합니다. 이러한 요청에서 다음과 같은 중요한 영향을 미치는 매개변수를 찾아야 합니다.

특히 example.com/payment/MD5HASH 패턴을 따르는 URL을 포함하는 매개변수를 만나면 더 자세히 조사해야 합니다. 다음은 단계별 접근 방식입니다:

매개변수 값 변경: Success, Referrer, 또는 _Callback_와 같은 매개변수의 값을 변경하여 실험해보세요. 예를 들어, 매개변수를 false에서 true로 변경하면 시스템이 이러한 입력을 처리하는 방식을 알 수 있을 수도 있습니다.
매개변수 제거: 특정 매개변수를 완전히 제거하여 시스템의 반응을 확인해보세요. 일부 시스템은 기대되는 매개변수가 없을 때 대체 동작이나 기본 동작을 가질 수 있습니다.

쿠키 검사: 많은 웹사이트에서 중요한 정보를 쿠키에 저장합니다. 결제 상태나 사용자 인증과 관련된 데이터를 확인하기 위해 이러한 쿠키를 검사하세요.
쿠키 값 수정: 쿠키에 저장된 값을 변경하고 웹사이트의 응답이나 동작이 어떻게 변하는지 관찰하세요.

세션 토큰: 결제 과정에서 세션 토큰을 사용하는 경우 이를 캡처하고 조작해보세요. 이는 세션 관리 취약점에 대한 통찰력을 제공할 수 있습니다.

응답 가로채기: 도구를 사용하여 서버로부터의 응답을 가로채고 분석하세요. 성공적인 거래를 나타내는 데이터나 결제 과정의 다음 단계를 찾아보세요.
응답 수정: 브라우저나 애플리케이션이 처리하기 전에 응답을 수정하여 성공적인 거래 시나리오를 시뮬레이션해보세요.

htARTE (HackTricks AWS Red Team Expert)를 통해 AWS 해킹을 처음부터 전문가까지 배워보세요!

HackTricks를 지원하는 다른 방법:

회사를 HackTricks에서 광고하거나 HackTricks를 PDF로 다운로드하려면 SUBSCRIPTION PLANS를 확인하세요!
공식 PEASS & HackTricks 스웨그를 얻으세요.
The PEASS Family를 탐색해보세요. 독점적인 NFTs 컬렉션입니다.
💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 Twitter 🐦 @carlospolopm을 팔로우하세요.
HackTricks와 HackTricks Cloud github 저장소에 PR을 제출하여 해킹 트릭을 공유하세요.