Bypass del Processo di Pagamento

Impara l'hacking di AWS da zero a eroe con htARTE (HackTricks AWS Red Team Expert)!

Altri modi per supportare HackTricks:

Se vuoi vedere la tua azienda pubblicizzata su HackTricks o scaricare HackTricks in PDF Controlla i PACCHETTI DI ABBONAMENTO!
Ottieni il merchandising ufficiale di PEASS & HackTricks
Scopri The PEASS Family, la nostra collezione di NFT esclusivi
Unisciti al 💬 gruppo Discord o al gruppo Telegram o seguici su Twitter 🐦 @carlospolopm.
Condividi i tuoi trucchi di hacking inviando PR ai repository di HackTricks e HackTricks Cloud su GitHub.

Trova le vulnerabilità più importanti in modo da poterle correggere più velocemente. Intruder traccia la tua superficie di attacco, esegue scansioni proattive delle minacce, trova problemi in tutta la tua infrastruttura tecnologica, dalle API alle applicazioni web e ai sistemi cloud. Provalo gratuitamente oggi stesso.

{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}

Tecniche di Bypass del Pagamento

Intercezione delle Richieste

Durante il processo di transazione, è fondamentale monitorare i dati scambiati tra il client e il server. Ciò può essere fatto intercettando tutte le richieste. All'interno di queste richieste, prestare attenzione ai parametri con implicazioni significative, come:

Successo: Questo parametro indica spesso lo stato della transazione.
Referrer: Potrebbe indicare la fonte da cui proviene la richiesta.
Callback: Viene utilizzato tipicamente per reindirizzare l'utente dopo il completamento di una transazione.

Analisi dell'URL

Se si incontra un parametro che contiene un URL, specialmente uno che segue il pattern example.com/payment/MD5HASH, è necessario esaminarlo più da vicino. Ecco un approccio passo-passo:

Copia l'URL: Estrai l'URL dal valore del parametro.
Ispezione in una Nuova Finestra: Apri l'URL copiato in una nuova finestra del browser. Questa azione è fondamentale per comprendere l'esito della transazione.

Manipolazione dei Parametri

Modifica dei Valori dei Parametri: Sperimenta modificando i valori dei parametri come Successo, Referrer o Callback. Ad esempio, cambiare un parametro da false a true può talvolta rivelare come il sistema gestisce questi input.
Rimozione dei Parametri: Prova a rimuovere alcuni parametri del tutto per vedere come reagisce il sistema. Alcuni sistemi potrebbero avere fallback o comportamenti predefiniti quando mancano i parametri attesi.

Esamina i Cookie: Molti siti web memorizzano informazioni cruciali nei cookie. Ispeziona questi cookie per eventuali dati relativi allo stato del pagamento o all'autenticazione dell'utente.
Modifica dei Valori dei Cookie: Modifica i valori memorizzati nei cookie e osserva come cambia la risposta o il comportamento del sito web.

Hijacking della Sessione

Token di Sessione: Se vengono utilizzati token di sessione nel processo di pagamento, prova a catturarli e manipolarli. Ciò potrebbe fornire informazioni sulle vulnerabilità nella gestione delle sessioni.

Manipolazione delle Risposte

Intercepisci le Risposte: Utilizza strumenti per intercettare e analizzare le risposte dal server. Cerca eventuali dati che potrebbero indicare una transazione riuscita o rivelare i passaggi successivi nel processo di pagamento.
Modifica delle Risposte: Cerca di modificare le risposte prima che vengano elaborate dal browser o dall'applicazione per simulare uno scenario di transazione riuscita.