mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-23 21:24:06 +00:00
3.8 KiB
3.8 KiB
Ominięcie Procesu Płatności
Zacznij od zera i stań się ekspertem AWS dzięki htARTE (HackTricks AWS Red Team Expert)!
Inne sposoby wsparcia HackTricks:
- Jeśli chcesz zobaczyć swoją firmę reklamowaną w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź PLANY SUBSKRYPCYJNE!
- Zdobądź oficjalne gadżety PEASS & HackTricks
- Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
- Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @carlospolopm.
- Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud na GitHubie.
Grupa Try Hard Security
{% embed url="https://discord.gg/tryhardsecurity" %}
Techniki Ominięcia Płatności
Przechwytywanie Żądań
Podczas procesu transakcji istotne jest monitorowanie danych wymienianych między klientem a serwerem. Można to zrobić poprzez przechwytywanie wszystkich żądań. W tych żądaniach zwróć uwagę na parametry o istotnym znaczeniu, takie jak:
- Sukces: Ten parametr często wskazuje na status transakcji.
- Referrer: Może wskazywać na źródło, z którego pochodzi żądanie.
- Callback: Zazwyczaj używany do przekierowania użytkownika po zakończeniu transakcji.
Analiza URL
Jeśli napotkasz parametr zawierający adres URL, zwłaszcza taki, który podąża za wzorcem example.com/payment/MD5HASH, wymaga to bliższej analizy. Oto krok po kroku:
- Skopiuj URL: Wyodrębnij adres URL z wartości parametru.
- Inspekcja w Nowym Oknie: Otwórz skopiowany adres URL w nowym oknie przeglądarki. Ta czynność jest kluczowa dla zrozumienia rezultatu transakcji.
Manipulacja Parametrami
- Zmień Wartości Parametrów: Eksperymentuj, zmieniając wartości parametrów, takich jak Sukces, Referrer lub Callback. Na przykład zmiana parametru z
false
natrue
czasami może ujawnić, w jaki sposób system obsługuje te dane wejściowe. - Usuń Parametry: Spróbuj całkowicie usunąć pewne parametry, aby zobaczyć, jak system reaguje. Niektóre systemy mogą mieć fallbacki lub domyślne zachowania, gdy oczekiwane parametry są brakujące.
Modyfikacja Ciasteczek
- Zbadaj Ciasteczka: Wiele stron internetowych przechowuje istotne informacje w ciasteczkach. Sprawdź te ciasteczka pod kątem danych dotyczących statusu płatności lub uwierzytelnienia użytkownika.
- Zmodyfikuj Wartości Ciasteczek: Zmodyfikuj wartości przechowywane w ciasteczkach i obserwuj, jak zmienia się odpowiedź strony internetowej lub jej zachowanie.
Przechwycenie Sesji
- Tokeny Sesji: Jeśli w procesie płatności używane są tokeny sesji, spróbuj przechwycić je i nimi manipulować. Może to dostarczyć wglądu w podatności zarządzania sesją.
Modyfikacja Odpowiedzi
- Przechwyć Odpowiedzi: Użyj narzędzi do przechwytywania i analizowania odpowiedzi serwera. Szukaj danych, które mogą wskazywać na udaną transakcję lub ujawniać kolejne kroki w procesie płatności.
- Modyfikuj Odpowiedzi: Spróbuj zmodyfikować odpowiedzi przed ich przetworzeniem przez przeglądarkę lub aplikację, aby zasymulować scenariusz udanej transakcji.