mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-26 14:40:37 +00:00
5.1 KiB
5.1 KiB
Bypass Procesa Plaćanja
Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!
Drugi načini podrške HackTricks-u:
- Ako želite da vidite vašu kompaniju reklamiranu na HackTricks-u ili preuzmete HackTricks u PDF formatu proverite PLANOVE ZA PRIJAVU!
- Nabavite zvanični PEASS & HackTricks swag
- Otkrijte The PEASS Family, našu kolekciju ekskluzivnih NFT-ova
- Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitteru 🐦 @carlospolopm.
- Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.
Try Hard Security Group
{% embed url="https://discord.gg/tryhardsecurity" %}
Tehnike Bypass-a Plaćanja
Intercepcija Zahteva
Tokom procesa transakcije, važno je pratiti podatke koji se razmenjuju između klijenta i servera. Ovo se može postići intercepcijom svih zahteva. U ovim zahtevima, obratite pažnju na parametre sa značajnim implikacijama, kao što su:
- Success: Ovaj parametar često označava status transakcije.
- Referrer: Može ukazivati na izvor odakle je zahtev potekao.
- Callback: Obično se koristi za preusmeravanje korisnika nakon završene transakcije.
Analiza URL-a
Ako naiđete na parametar koji sadrži URL, posebno onaj koji sledi obrazac primer.com/plaćanje/MD5HASH, potrebno je pažljivije ispitati. Evo korak-po-korak pristupa:
- Kopirajte URL: Izdvojite URL iz vrednosti parametra.
- Inspekcija u Novom Prozoru: Otvorite kopirani URL u novom prozoru pregledača. Ova akcija je ključna za razumevanje ishoda transakcije.
Manipulacija Parametrima
- Promenite Vrednosti Parametara: Ispitajte menjanjem vrednosti parametara poput Success, Referrer ili Callback. Na primer, promena parametra sa
false
natrue
ponekad može otkriti kako sistem obrađuje ove ulaze. - Uklonite Parametre: Pokušajte da uklonite određene parametre da biste videli kako sistem reaguje. Neki sistemi mogu imati rezervne opcije ili podrazumevano ponašanje kada nedostaju očekivani parametri.
Manipulacija Kukijima (Cookies)
- Ispitajte Kukije: Mnoge veb stranice čuvaju važne informacije u kukijima. Ispitajte ove kukije za bilo kakve podatke koji se odnose na status plaćanja ili autentifikaciju korisnika.
- Izmenite Vrednosti Kukija: Promenite vrednosti koje se čuvaju u kukijima i posmatrajte kako se odgovor ili ponašanje veb stranice menjaju.
Hakovanje Sesije
- Tokeni Sesije: Ako se koriste tokeni sesije u procesu plaćanja, pokušajte da ih uhvatite i manipulišete njima. Ovo može pružiti uvide u ranjivosti upravljanja sesijom.
Manipulacija Odgovorima
- Interceptujte Odgovore: Koristite alate za presretanje i analizu odgovora sa servera. Potražite bilo kakve podatke koji bi mogli ukazivati na uspešnu transakciju ili otkriti sledeće korake u procesu plaćanja.
- Izmenite Odgovore: Pokušajte da izmenite odgovore pre nego što ih obradi pregledač ili aplikacija kako biste simulirali scenarij uspešne transakcije.
Try Hard Security Group
{% embed url="https://discord.gg/tryhardsecurity" %}
Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!
Drugi načini podrške HackTricks-u:
- Ako želite da vidite vašu kompaniju reklamiranu na HackTricks-u ili preuzmete HackTricks u PDF formatu proverite PLANOVE ZA PRIJAVU!
- Nabavite zvanični PEASS & HackTricks swag
- Otkrijte The PEASS Family, našu kolekciju ekskluzivnih NFT-ova
- Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitteru 🐦 @carlospolopm.
- Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.