hacktricks/pentesting-web/bypass-payment-process.md

5.3 KiB

Bypass Proceso de Pago

Aprende hacking en AWS desde cero hasta experto con htARTE (Experto en Equipos Rojos de AWS de HackTricks)!

Otras formas de apoyar a HackTricks:

Grupo de Seguridad Try Hard

{% embed url="https://discord.gg/tryhardsecurity" %}


Técnicas de Bypass de Pago

Intercepción de Solicitudes

Durante el proceso de transacción, es crucial monitorear los datos intercambiados entre el cliente y el servidor. Esto se puede hacer interceptando todas las solicitudes. Dentro de estas solicitudes, busca parámetros con implicaciones significativas, como:

  • Éxito: Este parámetro a menudo indica el estado de la transacción.
  • Referente: Puede señalar el origen de donde provino la solicitud.
  • Callback: Esto se utiliza típicamente para redirigir al usuario después de que se complete una transacción.

Análisis de URL

Si encuentras un parámetro que contiene una URL, especialmente una que sigue el patrón ejemplo.com/pago/MD5HASH, requiere un examen más detenido. Aquí tienes un enfoque paso a paso:

  1. Copiar la URL: Extrae la URL del valor del parámetro.
  2. Inspección en una Nueva Ventana: Abre la URL copiada en una nueva ventana del navegador. Esta acción es crítica para comprender el resultado de la transacción.

Manipulación de Parámetros

  1. Cambiar los Valores de los Parámetros: Experimenta alterando los valores de parámetros como Éxito, Referente o Callback. Por ejemplo, cambiar un parámetro de false a true a veces puede revelar cómo el sistema maneja estas entradas.
  2. Eliminar Parámetros: Intenta eliminar ciertos parámetros por completo para ver cómo reacciona el sistema. Algunos sistemas podrían tener alternativas o comportamientos predeterminados cuando faltan parámetros esperados.

Manipulación de Cookies

  1. Examinar Cookies: Muchos sitios web almacenan información crucial en cookies. Inspecciona estas cookies en busca de datos relacionados con el estado del pago o la autenticación del usuario.
  2. Modificar los Valores de las Cookies: Altera los valores almacenados en las cookies y observa cómo cambia la respuesta o el comportamiento del sitio web.

Secuestro de Sesiones

  1. Tokens de Sesión: Si se utilizan tokens de sesión en el proceso de pago, intenta capturarlos y manipularlos. Esto podría proporcionar información sobre vulnerabilidades en la gestión de sesiones.

Manipulación de Respuestas

  1. Interceptar Respuestas: Utiliza herramientas para interceptar y analizar las respuestas del servidor. Busca cualquier dato que pueda indicar una transacción exitosa o revelar los próximos pasos en el proceso de pago.
  2. Modificar Respuestas: Intenta modificar las respuestas antes de que sean procesadas por el navegador o la aplicación para simular un escenario de transacción exitosa.

Grupo de Seguridad Try Hard

{% embed url="https://discord.gg/tryhardsecurity" %}

Aprende hacking en AWS desde cero hasta experto con htARTE (Experto en Equipos Rojos de AWS de HackTricks)!

Otras formas de apoyar a HackTricks: