6.6 KiB
Bypass Payment Process
{% hint style="success" %}
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.
Payment Bypass Techniques
Request Interception
Κατά τη διάρκεια της διαδικασίας συναλλαγής, είναι κρίσιμο να παρακολουθείτε τα δεδομένα που ανταλλάσσονται μεταξύ του πελάτη και του διακομιστή. Αυτό μπορεί να γίνει με την παρεμπόδιση όλων των αιτημάτων. Μέσα σε αυτά τα αιτήματα, προσέξτε παραμέτρους με σημαντικές επιπτώσεις, όπως:
- Success: Αυτή η παράμετρος συχνά υποδεικνύει την κατάσταση της συναλλαγής.
- Referrer: Μπορεί να δείχνει την πηγή από την οποία προήλθε το αίτημα.
- Callback: Αυτή χρησιμοποιείται συνήθως για την ανακατεύθυνση του χρήστη μετά την ολοκλήρωση μιας συναλλαγής.
URL Analysis
Αν συναντήσετε μια παράμετρο που περιέχει μια διεύθυνση URL, ειδικά μία που ακολουθεί το μοτίβο example.com/payment/MD5HASH, απαιτεί πιο προσεκτική εξέταση. Ακολουθεί μια βήμα προς βήμα προσέγγιση:
- Copy the URL: Εξαγάγετε τη διεύθυνση URL από την τιμή της παραμέτρου.
- New Window Inspection: Ανοίξτε τη διεύθυνση URL που αντιγράψατε σε ένα νέο παράθυρο του προγράμματος περιήγησης. Αυτή η ενέργεια είναι κρίσιμη για την κατανόηση του αποτελέσματος της συναλλαγής.
Parameter Manipulation
- Change Parameter Values: Πειραματιστείτε αλλάζοντας τις τιμές παραμέτρων όπως Success, Referrer ή Callback. Για παράδειγμα, η αλλαγή μιας παραμέτρου από
false
σεtrue
μπορεί μερικές φορές να αποκαλύψει πώς το σύστημα χειρίζεται αυτές τις εισόδους. - Remove Parameters: Δοκιμάστε να αφαιρέσετε ορισμένες παραμέτρους εντελώς για να δείτε πώς αντιδρά το σύστημα. Ορισμένα συστήματα μπορεί να έχουν εναλλακτικές ή προεπιλεγμένες συμπεριφορές όταν λείπουν οι αναμενόμενες παράμετροι.
Cookie Tampering
- Examine Cookies: Πολλές ιστοσελίδες αποθηκεύουν κρίσιμες πληροφορίες σε cookies. Εξετάστε αυτά τα cookies για τυχόν δεδομένα που σχετίζονται με την κατάσταση πληρωμής ή την αυθεντικοποίηση χρήστη.
- Modify Cookie Values: Αλλάξτε τις τιμές που αποθηκεύονται στα cookies και παρατηρήστε πώς αλλάζει η απάντηση ή η συμπεριφορά της ιστοσελίδας.
Session Hijacking
- Session Tokens: Αν χρησιμοποιούνται διακριτικά συνεδρίας στη διαδικασία πληρωμής, προσπαθήστε να τα συλλάβετε και να τα χειριστείτε. Αυτό μπορεί να δώσει πληροφορίες σχετικά με τις ευπάθειες διαχείρισης συνεδρίας.
Response Tampering
- Intercept Responses: Χρησιμοποιήστε εργαλεία για να παρεμποδίσετε και να αναλύσετε τις απαντήσεις από τον διακομιστή. Αναζητήστε τυχόν δεδομένα που μπορεί να υποδεικνύουν μια επιτυχημένη συναλλαγή ή να αποκαλύπτουν τα επόμενα βήματα στη διαδικασία πληρωμής.
- Modify Responses: Προσπαθήστε να τροποποιήσετε τις απαντήσεις πριν επεξεργαστούν από τον περιηγητή ή την εφαρμογή για να προσομοιώσετε ένα σενάριο επιτυχούς συναλλαγής.
{% hint style="success" %}
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.