mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-26 22:52:06 +00:00
5.5 KiB
5.5 KiB
Contourner le Processus de Paiement
Apprenez le piratage AWS de zéro à héros avec htARTE (Expert de l'Équipe Rouge AWS de HackTricks)!
Autres façons de soutenir HackTricks :
- Si vous souhaitez voir votre entreprise annoncée dans HackTricks ou télécharger HackTricks en PDF, consultez les PLANS D'ABONNEMENT !
- Obtenez le swag officiel PEASS & HackTricks
- Découvrez La Famille PEASS, notre collection exclusive de NFTs
- Rejoignez le 💬 groupe Discord ou le groupe Telegram ou suivez-nous sur Twitter 🐦 @carlospolopm.
- Partagez vos astuces de piratage en soumettant des PR aux HackTricks et HackTricks Cloud dépôts GitHub.
Groupe de Sécurité Try Hard
{% embed url="https://discord.gg/tryhardsecurity" %}
Techniques de Contournement de Paiement
Interception de Requêtes
Pendant le processus de transaction, il est crucial de surveiller les données échangées entre le client et le serveur. Cela peut être fait en interceptant toutes les requêtes. Dans ces requêtes, soyez attentif aux paramètres ayant des implications significatives, tels que :
- Succès : Ce paramètre indique souvent l'état de la transaction.
- Référent : Il peut indiquer la source d'où provient la requête.
- Rappel : Il est généralement utilisé pour rediriger l'utilisateur après qu'une transaction est terminée.
Analyse d'URL
Si vous rencontrez un paramètre contenant une URL, en particulier suivant le modèle exemple.com/paiement/MD5HASH, il nécessite un examen plus approfondi. Voici une approche étape par étape :
- Copiez l'URL : Extrayez l'URL de la valeur du paramètre.
- Inspection dans une Nouvelle Fenêtre : Ouvrez l'URL copiée dans une nouvelle fenêtre de navigateur. Cette action est cruciale pour comprendre le résultat de la transaction.
Manipulation de Paramètres
- Modifier les Valeurs des Paramètres : Expérimentez en modifiant les valeurs des paramètres comme Succès, Référent ou Rappel. Par exemple, changer un paramètre de
falseàtruepeut parfois révéler comment le système gère ces entrées. - Supprimer des Paramètres : Essayez de supprimer certains paramètres complètement pour voir comment le système réagit. Certains systèmes peuvent avoir des solutions de repli ou des comportements par défaut lorsque des paramètres attendus sont manquants.
Altération de Cookies
- Examiner les Cookies : De nombreux sites web stockent des informations cruciales dans les cookies. Inspectez ces cookies pour toute donnée liée à l'état du paiement ou à l'authentification de l'utilisateur.
- Modifier les Valeurs des Cookies : Modifiez les valeurs stockées dans les cookies et observez comment la réponse ou le comportement du site web change.
Détournement de Session
- Jetons de Session : Si des jetons de session sont utilisés dans le processus de paiement, essayez de les capturer et de les manipuler. Cela pourrait donner des informations sur les vulnérabilités de gestion de session.
Altération de Réponses
- Intercepter les Réponses : Utilisez des outils pour intercepter et analyser les réponses du serveur. Recherchez des données qui pourraient indiquer une transaction réussie ou révéler les prochaines étapes du processus de paiement.
- Modifier les Réponses : Tentez de modifier les réponses avant qu'elles ne soient traitées par le navigateur ou l'application pour simuler un scénario de transaction réussie.
Groupe de Sécurité Try Hard
{% embed url="https://discord.gg/tryhardsecurity" %}
Apprenez le piratage AWS de zéro à héros avec htARTE (Expert de l'Équipe Rouge AWS de HackTricks)!
Autres façons de soutenir HackTricks :
- Si vous souhaitez voir votre entreprise annoncée dans HackTricks ou télécharger HackTricks en PDF, consultez les PLANS D'ABONNEMENT !
- Obtenez le swag officiel PEASS & HackTricks
- Découvrez La Famille PEASS, notre collection exclusive de NFTs
- Rejoignez le 💬 groupe Discord ou le groupe Telegram ou suivez-nous sur Twitter 🐦 @carlospolopm.
- Partagez vos astuces de piratage en soumettant des PR aux HackTricks et HackTricks Cloud dépôts GitHub.