Mirrors/hacktricks

mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 05:03:35 +00:00

Translator 6852c218f0 Translated ['forensics/basic-forensic-methodology/partitions-file-system

2024-03-26 15:45:57 +00:00

4.4 KiB

Raw Blame History

绕过支付流程

从零开始学习AWS黑客技术，成为专家 htARTE（HackTricks AWS红队专家）！

支持HackTricks的其他方式：

如果您想看到您的公司在HackTricks中做广告或下载PDF格式的HackTricks，请查看订阅计划!
获取官方PEASS & HackTricks周边产品
探索PEASS家族，我们的独家NFTs收藏品
加入 💬 Discord群 或 电报群 或关注我们的Twitter 🐦 @carlospolopm。
通过向HackTricks和HackTricks Cloud github仓库提交PR来分享您的黑客技巧。

Try Hard Security Group

{% embed url="https://discord.gg/tryhardsecurity" %}

支付绕过技术

请求拦截

在交易过程中，监视客户端和服务器之间交换的数据至关重要。可以通过拦截所有请求来实现这一点。在这些请求中，要注意具有重要影响的参数，例如：

Success：此参数通常指示交易的状态。
Referrer：可能指向请求来源的源。
Callback：通常用于在交易完成后重定向用户。

URL分析

如果遇到包含URL的参数，特别是遵循模式_example.com/payment/MD5HASH_的参数，需要进行更仔细的检查。以下是逐步方法：

复制URL：从参数值中提取URL。
新窗口检查：在新浏览器窗口中打开复制的URL。这一步骤对于理解交易结果至关重要。

参数操纵

更改参数值：尝试通过更改参数值如_Success_、_Referrer_或_Callback_来进行实验。例如，将参数从false更改为true有时可以揭示系统如何处理这些输入。
删除参数：尝试完全删除某些参数，以查看系统的反应。当缺少预期参数时，某些系统可能具有回退或默认行为。

Cookie篡改

检查Cookie：许多网站在Cookie中存储关键信息。检查这些Cookie是否包含与支付状态或用户身份验证相关的任何数据。
修改Cookie值：更改Cookie中存储的值，并观察网站的响应或行为如何变化。

会话劫持

会话令牌：如果支付过程中使用会话令牌，请尝试捕获和操纵它们。这可能会揭示会话管理漏洞。

响应篡改

拦截响应：使用工具拦截和分析服务器的响应。查找可能指示成功交易或揭示支付流程中下一步的任何数据。
修改响应：尝试在浏览器或应用程序处理响应之前修改响应，以模拟成功交易场景。

Try Hard Security Group

{% embed url="https://discord.gg/tryhardsecurity" %}

从零开始学习AWS黑客技术，成为专家 htARTE（HackTricks AWS红队专家）！

支持HackTricks的其他方式：

如果您想看到您的公司在HackTricks中做广告或下载PDF格式的HackTricks，请查看订阅计划!
获取官方PEASS & HackTricks周边产品
探索PEASS家族，我们的独家NFTs收藏品
加入 💬 Discord群 或 电报群 或关注我们的Twitter 🐦 @carlospolopm。
通过向HackTricks和HackTricks Cloud github仓库提交PR来分享您的黑客技巧。