hacktricks/pentesting-web/bypass-payment-process.md

Pomijanie Procesu Płatności

Zacznij od zera i stań się ekspertem AWS dzięki htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

• Jeśli chcesz zobaczyć swoją firmę reklamowaną w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź PLANY SUBSKRYPCYJNE!
• Zdobądź oficjalne gadżety PEASS & HackTricks
• Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
• Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @carlospolopm.
• Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud na GitHubie.

Techniki Pomijania Płatności

Przechwytywanie Żądań

Podczas procesu transakcji istotne jest monitorowanie danych wymienianych między klientem a serwerem. Można to zrobić poprzez przechwytywanie wszystkich żądań. W tych żądaniach zwróć uwagę na parametry o istotnym znaczeniu, takie jak:

• Success: Ten parametr często wskazuje na status transakcji.
• Referrer: Może wskazywać źródło, z którego pochodzi żądanie.
• Callback: Zazwyczaj używany do przekierowania użytkownika po zakończeniu transakcji.

Analiza URL

Jeśli napotkasz parametr zawierający adres URL, zwłaszcza taki, który podąża za wzorcem example.com/payment/MD5HASH, wymaga to bliższej analizy. Oto krok po kroku:

1. Skopiuj URL: Wyodrębnij adres URL z wartości parametru.
2. Inspekcja w Nowym Oknie: Otwórz skopiowany adres URL w nowym oknie przeglądarki. Ta czynność jest kluczowa dla zrozumienia rezultatu transakcji.

Manipulacja Parametrami

1. Zmień Wartości Parametrów: Eksperymentuj, zmieniając wartości parametrów, takich jak Success, Referrer lub Callback. Na przykład zmiana parametru z false na true czasami ujawnia, w jaki sposób system obsługuje te dane wejściowe.
2. Usuń Parametry: Spróbuj usunąć pewne parametry całkowicie, aby zobaczyć, jak system reaguje. Niektóre systemy mogą mieć fallbacki lub domyślne zachowania, gdy oczekiwane parametry są pominięte.

Modyfikacja Ciasteczek

1. Zbadaj Ciasteczka: Wiele stron internetowych przechowuje istotne informacje w ciasteczkach. Sprawdź te ciasteczka pod kątem danych dotyczących statusu płatności lub uwierzytelnienia użytkownika.
2. Zmodyfikuj Wartości Ciasteczek: Zmodyfikuj wartości przechowywane w ciasteczkach i obserwuj, jak zmienia się odpowiedź strony internetowej lub jej zachowanie.

Przechwytywanie Sesji

1. Tokeny Sesji: Jeśli w procesie płatności używane są tokeny sesji, spróbuj przechwycić je i nimi manipulować. Może to dostarczyć wglądu w podatności zarządzania sesjami.

Modyfikacja Odpowiedzi

1. Przechwytywanie Odpowiedzi: Użyj narzędzi do przechwytywania i analizowania odpowiedzi serwera. Szukaj danych wskazujących na udaną transakcję lub ujawniających kolejne kroki w procesie płatności.
2. Modyfikacja Odpowiedzi: Spróbuj zmodyfikować odpowiedzi przed ich przetworzeniem przez przeglądarkę lub aplikację, aby zasymulować scenariusz udanej transakcji.