hacktricks/pentesting-web/bypass-payment-process.md

3.5 KiB

Bypass Procesa Plaćanja

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

Tehnike Bypass-a Plaćanja

Intercepcija Zahteva

Tokom procesa transakcije, važno je pratiti podatke koji se razmenjuju između klijenta i servera. To se može uraditi intercepcijom svih zahteva. U ovim zahtevima, obratite pažnju na parametre sa značajnim implikacijama, kao što su:

  • Success: Ovaj parametar često označava status transakcije.
  • Referrer: Može ukazivati na izvor odakle je zahtev potekao.
  • Callback: Obično se koristi za preusmeravanje korisnika nakon završene transakcije.

Analiza URL-a

Ako naiđete na parametar koji sadrži URL, posebno onaj koji sledi obrazac primer.com/plaćanje/MD5HASH, potrebno je pažljivije ispitati. Evo korak-po-korak pristupa:

  1. Kopirajte URL: Izdvojite URL iz vrednosti parametra.
  2. Inspekcija u Novom Prozoru: Otvorite kopirani URL u novom prozoru pregledača. Ova radnja je ključna za razumevanje ishoda transakcije.

Manipulacija Parametrima

  1. Promenite Vrednosti Parametara: Ispitajte menjanjem vrednosti parametara poput Success, Referrer ili Callback. Na primer, promena parametra sa false na true ponekad može otkriti kako sistem obrađuje ove ulaze.
  2. Uklonite Parametre: Pokušajte da u potpunosti uklonite određene parametre da biste videli kako sistem reaguje. Neki sistemi mogu imati rezervne opcije ili podrazumevano ponašanje kada nedostaju očekivani parametri.

Manipulacija Kolačićima

  1. Ispitajte Kolačiće: Mnoge veb stranice čuvaju važne informacije u kolačićima. Ispitajte ove kolačiće za bilo koje podatke koji se odnose na status plaćanja ili autentifikaciju korisnika.
  2. Izmenite Vrednosti Kolačića: Promenite vrednosti koje se čuvaju u kolačićima i posmatrajte kako se menja odgovor ili ponašanje veb stranice.

Hakovanje Sesije

  1. Tokeni Sesije: Ako se koriste tokeni sesije u procesu plaćanja, pokušajte da ih uhvatite i manipulišete njima. Ovo može pružiti uvide u ranjivosti upravljanja sesijom.

Manipulacija Odgovorima

  1. Interceptujte Odgovore: Koristite alate za presretanje i analizu odgovora sa servera. Potražite bilo kakve podatke koji bi mogli ukazivati na uspešnu transakciju ili otkriti sledeće korake u procesu plaćanja.
  2. Izmenite Odgovore: Pokušajte da izmenite odgovore pre nego što ih obradi pregledač ili aplikacija kako biste simulirali scenarij uspešne transakcije.