mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-28 15:41:34 +00:00
5.3 KiB
5.3 KiB
결제 우회 프로세스
{% hint style="success" %}
AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE)
HackTricks 지원하기
- 구독 계획 확인하기!
- **💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 Twitter 🐦 @hacktricks_live를 팔로우하세요.
- HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.
Try Hard Security Group
{% embed url="https://discord.gg/tryhardsecurity" %}
결제 우회 기술
요청 가로채기
거래 과정에서 클라이언트와 서버 간에 교환되는 데이터를 모니터링하는 것이 중요합니다. 이는 모든 요청을 가로채는 방식으로 수행할 수 있습니다. 이러한 요청 내에서 중요한 의미를 가진 매개변수를 찾아보세요:
- Success: 이 매개변수는 종종 거래의 상태를 나타냅니다.
- Referrer: 요청이 발생한 출처를 가리킬 수 있습니다.
- Callback: 이는 일반적으로 거래가 완료된 후 사용자를 리디렉션하는 데 사용됩니다.
URL 분석
URL을 포함하는 매개변수를 발견하면, 특히 example.com/payment/MD5HASH 패턴을 따르는 경우, 더 면밀히 조사해야 합니다. 단계별 접근 방식은 다음과 같습니다:
- URL 복사: 매개변수 값에서 URL을 추출합니다.
- 새 창 검사: 복사한 URL을 새 브라우저 창에서 엽니다. 이 작업은 거래 결과를 이해하는 데 중요합니다.
매개변수 조작
- 매개변수 값 변경: Success, Referrer, 또는 _Callback_과 같은 매개변수의 값을 변경해 보세요. 예를 들어, 매개변수를
false
에서true
로 변경하면 시스템이 이러한 입력을 처리하는 방식을 드러낼 수 있습니다. - 매개변수 제거: 특정 매개변수를 완전히 제거하여 시스템이 어떻게 반응하는지 확인해 보세요. 일부 시스템은 예상되는 매개변수가 없을 때 대체 동작이나 기본 동작을 가질 수 있습니다.
쿠키 변조
- 쿠키 검사: 많은 웹사이트가 쿠키에 중요한 정보를 저장합니다. 결제 상태나 사용자 인증과 관련된 데이터를 위해 이러한 쿠키를 검사하세요.
- 쿠키 값 수정: 쿠키에 저장된 값을 변경하고 웹사이트의 응답이나 동작이 어떻게 변하는지 관찰하세요.
세션 하이재킹
- 세션 토큰: 결제 과정에서 세션 토큰이 사용되는 경우, 이를 캡처하고 조작해 보세요. 이는 세션 관리 취약점에 대한 통찰력을 제공할 수 있습니다.
응답 변조
- 응답 가로채기: 도구를 사용하여 서버의 응답을 가로채고 분석하세요. 성공적인 거래를 나타내거나 결제 과정의 다음 단계를 드러낼 수 있는 데이터를 찾아보세요.
- 응답 수정: 브라우저나 애플리케이션이 처리하기 전에 응답을 수정하여 성공적인 거래 시나리오를 시뮬레이션해 보세요.
Try Hard Security Group
{% embed url="https://discord.gg/tryhardsecurity" %}
{% hint style="success" %}
AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE)
HackTricks 지원하기
- 구독 계획 확인하기!
- **💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 Twitter 🐦 @hacktricks_live를 팔로우하세요.
- HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.