8.8 KiB
भुगतान प्रक्रिया को बायपास करें
{% hint style="success" %}
AWS हैकिंग सीखें और अभ्यास करें:
HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: 
HackTricks Training GCP Red Team Expert (GRTE)
HackTricks का समर्थन करें
- सदस्यता योजनाएँ देखें!
- 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या Twitter 🐦 पर हमें फॉलो करें @hacktricks_live.**
- हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PR सबमिट करें।
भुगतान बायपास तकनीकें
अनुरोध इंटरसेप्शन
लेन-देन प्रक्रिया के दौरान, ग्राहक और सर्वर के बीच आदान-प्रदान किए जा रहे डेटा की निगरानी करना महत्वपूर्ण है। यह सभी अनुरोधों को इंटरसेप्ट करके किया जा सकता है। इन अनुरोधों के भीतर, महत्वपूर्ण निहितार्थ वाले पैरामीटर की तलाश करें, जैसे:
- सफलता: यह पैरामीटर अक्सर लेन-देन की स्थिति को इंगित करता है।
- रेफरर: यह उस स्रोत की ओर इशारा कर सकता है जहाँ से अनुरोध उत्पन्न हुआ।
- कॉलबैक: इसका उपयोग आमतौर पर लेन-देन पूरा होने के बाद उपयोगकर्ता को रीडायरेक्ट करने के लिए किया जाता है।
URL विश्लेषण
यदि आप किसी पैरामीटर का सामना करते हैं जिसमें एक URL है, विशेष रूप से एक जो example.com/payment/MD5HASH के पैटर्न का अनुसरण करता है, तो इसकी निकटता से जांच करने की आवश्यकता है। यहाँ एक चरण-दर-चरण दृष्टिकोण है:
- URL कॉपी करें: पैरामीटर मान से URL निकालें।
- नया विंडो निरीक्षण: कॉपी किए गए URL को एक नए ब्राउज़र विंडो में खोलें। यह क्रिया लेन-देन के परिणाम को समझने के लिए महत्वपूर्ण है।
पैरामीटर हेरफेर
- पैरामीटर मान बदलें: सफलता, रेफरर, या कॉलबैक जैसे पैरामीटर के मानों को बदलने का प्रयोग करें। उदाहरण के लिए, किसी पैरामीटर को
falseसेtrueमें बदलने से कभी-कभी यह पता चल सकता है कि सिस्टम इन इनपुट्स को कैसे संभालता है। - पैरामीटर हटाएँ: यह देखने के लिए कुछ पैरामीटर को पूरी तरह से हटाने का प्रयास करें कि सिस्टम कैसे प्रतिक्रिया करता है। कुछ सिस्टम अपेक्षित पैरामीटर के गायब होने पर फॉलबैक या डिफ़ॉल्ट व्यवहार हो सकते हैं।
कुकी छेड़छाड़
- कुकीज़ की जांच करें: कई वेबसाइटें कुकीज़ में महत्वपूर्ण जानकारी संग्रहीत करती हैं। भुगतान स्थिति या उपयोगकर्ता प्रमाणीकरण से संबंधित किसी भी डेटा के लिए इन कुकीज़ की जांच करें।
- कुकी मानों को संशोधित करें: कुकीज़ में संग्रहीत मानों को बदलें और देखें कि वेबसाइट की प्रतिक्रिया या व्यवहार कैसे बदलता है।
सत्र हाइजैकिंग
- सत्र टोकन: यदि भुगतान प्रक्रिया में सत्र टोकन का उपयोग किया जाता है, तो उन्हें कैप्चर और हेरफेर करने का प्रयास करें। यह सत्र प्रबंधन कमजोरियों के बारे में अंतर्दृष्टि दे सकता है।
प्रतिक्रिया छेड़छाड़
- प्रतिक्रियाओं को इंटरसेप्ट करें: सर्वर से प्रतिक्रियाओं को इंटरसेप्ट और विश्लेषण करने के लिए उपकरणों का उपयोग करें। किसी भी डेटा की तलाश करें जो सफल लेन-देन को इंगित कर सकता है या भुगतान प्रक्रिया में अगले चरणों को प्रकट कर सकता है।
- प्रतिक्रियाओं को संशोधित करें: ब्राउज़र या एप्लिकेशन द्वारा संसाधित होने से पहले प्रतिक्रियाओं को संशोधित करने का प्रयास करें ताकि सफल लेन-देन परिदृश्य का अनुकरण किया जा सके।
{% hint style="success" %}
AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)
HackTricks का समर्थन करें
- सदस्यता योजनाएँ देखें!
- 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या Twitter 🐦 पर हमें फॉलो करें @hacktricks_live.**
- हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PR सबमिट करें।