Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 13:13:41 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/pentesting-web/bypass-payment-process.md
Translator workflow 5e0daf0e23 Translated to Polish
2024-02-11 01:46:25 +00:00

5.9 KiB
Raw Blame History

Ominięcie procesu płatności

Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

Znajdź najważniejsze podatności, aby szybko je naprawić. Intruder śledzi powierzchnię ataku, wykonuje proaktywne skanowanie zagrożeń, znajduje problemy we wszystkich warstwach technologicznych, od interfejsów API po aplikacje internetowe i systemy chmurowe. Wypróbuj go za darmo już dziś.

{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}

Techniki ominięcia płatności

Przechwytywanie żądań

Podczas procesu transakcji ważne jest monitorowanie danych wymienianych między klientem a serwerem. Można to zrobić, przechwytując wszystkie żądania. W tych żądaniach należy zwrócić uwagę na parametry o istotnym znaczeniu, takie jak:

  • Success: Ten parametr często wskazuje na status transakcji.
  • Referrer: Może wskazywać na źródło, z którego pochodzi żądanie.
  • Callback: Zazwyczaj używany do przekierowania użytkownika po zakończeniu transakcji.

Analiza adresu URL

Jeśli napotkasz parametr zawierający adres URL, zwłaszcza taki, który ma wzór example.com/payment/MD5HASH, wymaga to bliższego zbadania. Oto krok po kroku:

  1. Skopiuj adres URL: Wyodrębnij adres URL z wartości parametru.
  2. Inspekcja w nowym oknie: Otwórz skopiowany adres URL w nowym oknie przeglądarki. Ta czynność jest kluczowa dla zrozumienia wyniku transakcji.

Manipulacja parametrami

  1. Zmień wartości parametrów: Przeprowadź eksperymenty, zmieniając wartości parametrów, takich jak Success, Referrer lub Callback. Na przykład zmiana parametru z false na true czasami może ujawnić, jak system obsługuje te dane wejściowe.
  2. Usuń parametry: Spróbuj całkowicie usunąć pewne parametry, aby zobaczyć, jak system reaguje. Niektóre systemy mogą mieć fallbacki lub domyślne zachowania, gdy brakuje oczekiwanych parametrów.

Modyfikacja plików cookie

  1. Sprawdź pliki cookie: Wiele stron internetowych przechowuje istotne informacje w plikach cookie. Sprawdź te pliki cookie pod kątem danych dotyczących statusu płatności lub uwierzytelnienia użytkownika.
  2. Zmodyfikuj wartości plików cookie: Zmień wartości przechowywane w plikach cookie i obserwuj, jak zmienia się odpowiedź lub zachowanie strony internetowej.

Przechwycenie sesji

  1. Tokeny sesji: Jeśli w procesie płatności używane są tokeny sesji, spróbuj je przechwycić i manipulować nimi. Może to dostarczyć informacji na temat podatności zarządzania sesją.

Modyfikacja odpowiedzi

  1. Przechwytywanie odpowiedzi: Użyj narzędzi do przechwytywania i analizowania odpowiedzi serwera. Szukaj danych, które mogą wskazywać na udaną transakcję lub ujawniać kolejne kroki w procesie płatności.
  2. Modyfikowanie odpowiedzi: Spróbuj zmodyfikować odpowiedzi przed ich przetworzeniem przez przeglądarkę lub aplikację, aby symulować scenariusz udanej transakcji.

Znajdź najważniejsze podatności, aby szybko je naprawić. Intruder śledzi powierzchnię ataku, wykonuje proaktywne skanowanie zagrożeń, znajduje problemy we wszystkich warstwach technologicznych, od interfejsów API po aplikacje internetowe i systemy chmurowe. Wypróbuj go za darmo już dziś.

{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}

Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks: