hacktricks/pentesting-web/bypass-payment-process.md

Bypass Payment Process

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

• Check the subscription plans!
• Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
• Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

{% endhint %}

Try Hard Security Group

{% embed url="https://discord.gg/tryhardsecurity" %}

---

Tehnike zaobilaženja plaćanja

Presretanje zahteva

Tokom procesa transakcije, ključno je pratiti podatke koji se razmenjuju između klijenta i servera. To se može uraditi presretanjem svih zahteva. U okviru ovih zahteva, obratite pažnju na parametre sa značajnim implikacijama, kao što su:

• Uspeh: Ovaj parametar često označava status transakcije.
• Referer: Može ukazivati na izvor sa kojeg je zahtev potekao.
• Povratni poziv: Obično se koristi za preusmeravanje korisnika nakon što je transakcija završena.

Analiza URL-a

Ako naiđete na parametar koji sadrži URL, posebno onaj koji prati obrazac example.com/payment/MD5HASH, zahteva bliže ispitivanje. Evo korak-po-korak pristupa:

1. Kopirajte URL: Izvucite URL iz vrednosti parametra.
2. Inspekcija u novom prozoru: Otvorite kopirani URL u novom prozoru pretraživača. Ova akcija je ključna za razumevanje ishoda transakcije.

Manipulacija parametrima

1. Promenite vrednosti parametara: Eksperimentišite menjajući vrednosti parametara kao što su Uspeh, Referer ili Povratni poziv. Na primer, promena parametra sa false na true može ponekad otkriti kako sistem obrađuje ove ulaze.
2. Uklonite parametre: Pokušajte da uklonite određene parametre kako biste videli kako sistem reaguje. Neki sistemi mogu imati rezervne ili podrazumevane ponašanja kada očekivani parametri nedostaju.

Manipulacija kolačićima

1. Ispitajte kolačiće: Mnogi vebsajti čuvaju ključne informacije u kolačićima. Istražite ove kolačiće za bilo kakve podatke vezane za status plaćanja ili autentifikaciju korisnika.
2. Izmenite vrednosti kolačića: Promenite vrednosti koje su sačuvane u kolačićima i posmatrajte kako se odgovor ili ponašanje vebsajta menja.

Preuzimanje sesije

1. Tokeni sesije: Ako se tokeni sesije koriste u procesu plaćanja, pokušajte da ih uhvatite i manipulišete njima. Ovo može dati uvid u ranjivosti upravljanja sesijama.

Manipulacija odgovorima

1. Presretnite odgovore: Koristite alate za presretanje i analizu odgovora sa servera. Potražite bilo kakve podatke koji bi mogli ukazivati na uspešnu transakciju ili otkriti sledeće korake u procesu plaćanja.
2. Izmenite odgovore: Pokušajte da izmenite odgovore pre nego što ih obradi pretraživač ili aplikacija kako biste simulirali scenario uspešne transakcije.

Try Hard Security Group

{% embed url="https://discord.gg/tryhardsecurity" %}

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

• Check the subscription plans!
• Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
• Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

{% endhint %}