Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-25 22:20:43 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/pentesting-web/bypass-payment-process.md

73 lines
5.1 KiB
Markdown
Raw Blame History

# Bypass Proces Plaćanja
<details>
<summary><strong>Naučite hakovanje AWS-a od nule do heroja sa</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Drugi načini podrške HackTricks-u:
* Ako želite da vidite **vašu kompaniju reklamiranu na HackTricks-u** ili da **preuzmete HackTricks u PDF formatu** proverite [**PLANOVE ZA PRIJAVU**](https://github.com/sponsors/carlospolop)!
* Nabavite [**zvanični PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Otkrijte [**The PEASS Family**](https://opensea.io/collection/the-peass-family), našu kolekciju ekskluzivnih [**NFT-ova**](https://opensea.io/collection/the-peass-family)
* **Pridružite se** 💬 [**Discord grupi**](https://discord.gg/hRep4RUj7f) ili [**telegram grupi**](https://t.me/peass) ili nas **pratite** na **Twitteru** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podelite svoje hakovanje trikove slanjem PR-ova na** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.
</details>
**Try Hard Security Group**
<figure><img src="/.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>
{% embed url="https://discord.gg/tryhardsecurity" %}
***
## Tehnike Bypass-a Plaćanja
### Intercepcija Zahteva
Tokom procesa transakcije, važno je pratiti podatke koji se razmenjuju između klijenta i servera. To se može postići intercepcijom svih zahteva. U tim zahtevima, obratite pažnju na parametre sa značajnim implikacijama, kao što su:
- **Success**: Ovaj parametar često označava status transakcije.
- **Referrer**: Može ukazivati na izvor odakle je zahtev potekao.
- **Callback**: Obično se koristi za preusmeravanje korisnika nakon završene transakcije.
### Analiza URL-a
Ako naiđete na parametar koji sadrži URL, posebno onaj koji sledi obrazac _primer.com/plaćanje/MD5HASH_, potrebno je pažljivije ispitati. Evo korak-po-korak pristupa:
1. **Kopirajte URL**: Izdvojite URL iz vrednosti parametra.
2. **Inspekcija u Novom Prozoru**: Otvorite kopirani URL u novom prozoru pregledača. Ova radnja je ključna za razumevanje ishoda transakcije.
### Manipulacija Parametrima
1. **Promenite Vrednosti Parametara**: Ispitajte menjanjem vrednosti parametara poput _Success_, _Referrer_ ili _Callback_. Na primer, promena parametra sa `false` na `true` ponekad može otkriti kako sistem obrađuje ove ulaze.
2. **Uklonite Parametre**: Pokušajte da uklonite određene parametre da biste videli kako sistem reaguje. Neki sistemi mogu imati rezervne opcije ili podrazumevano ponašanje kada nedostaju očekivani parametri.
### Manipulacija Kolačićima
1. **Ispitajte Kolačiće**: Mnoge veb stranice čuvaju važne informacije u kolačićima. Ispitajte ove kolačiće za bilo koje podatke koji se odnose na status plaćanja ili autentifikaciju korisnika.
2. **Izmenite Vrednosti Kolačića**: Promenite vrednosti koje se čuvaju u kolačićima i posmatrajte kako se menja odgovor ili ponašanje veb stranice.
### Hakovanje Sesije
1. **Tokeni Sesije**: Ako se tokeni sesije koriste u procesu plaćanja, pokušajte da ih uhvatite i manipulišete njima. Ovo može pružiti uvide u ranjivosti upravljanja sesijom.
### Manipulacija Odgovorima
1. **Interceptujte Odgovore**: Koristite alate za presretanje i analizu odgovora sa servera. Potražite bilo kakve podatke koji bi mogli ukazivati na uspešnu transakciju ili otkriti sledeće korake u procesu plaćanja.
2. **Izmenite Odgovore**: Pokušajte da izmenite odgovore pre nego što ih obradi pregledač ili aplikacija kako biste simulirali scenarij uspešne transakcije.
**Try Hard Security Group**
<figure><img src="/.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>
{% embed url="https://discord.gg/tryhardsecurity" %}
<details>
<summary><strong>Naučite hakovanje AWS-a od nule do heroja sa</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Drugi načini podrške HackTricks-u:
* Ako želite da vidite **vašu kompaniju reklamiranu na HackTricks-u** ili da **preuzmete HackTricks u PDF formatu** proverite [**PLANOVE ZA PRIJAVU**](https://github.com/sponsors/carlospolop)!
* Nabavite [**zvanični PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Otkrijte [**The PEASS Family**](https://opensea.io/collection/the-peass-family), našu kolekciju ekskluzivnih [**NFT-ova**](https://opensea.io/collection/the-peass-family)
* **Pridružite se** 💬 [**Discord grupi**](https://discord.gg/hRep4RUj7f) ili [**telegram grupi**](https://t.me/peass) ili nas **pratite** na **Twitteru** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podelite svoje hakovanje trikove slanjem PR-ova na** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.
</details>
Reference in a new issue View git blame Copy permalink