hacktricks/pentesting-web/bypass-payment-process.md

Bypass Payment Process

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

• Check the subscription plans!
• Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
• Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

{% endhint %}

Try Hard Security Group

{% embed url="https://discord.gg/tryhardsecurity" %}

---

Mbinu za Kuepuka Malipo

Kukamata Maombi

Wakati wa mchakato wa muamala, ni muhimu kufuatilia data inayobadilishana kati ya mteja na seva. Hii inaweza kufanywa kwa kukamata maombi yote. Ndani ya maombi haya, angalia vigezo vyenye athari kubwa, kama vile:

• Mafanikio: Kigezo hiki mara nyingi kinaonyesha hali ya muamala.
• Referrer: Kinaweza kuashiria chanzo ambacho ombi lilitoka.
• Callback: Hiki hutumiwa kawaida kwa kuhamasisha mtumiaji baada ya muamala kukamilika.

Uchambuzi wa URL

Ikiwa unakutana na kigezo kinachokuwa na URL, hasa kimoja kinachofuata muundo example.com/payment/MD5HASH, inahitaji uchunguzi wa karibu. Hapa kuna njia ya hatua kwa hatua:

1. Nakili URL: Toa URL kutoka kwa thamani ya kigezo.
2. Ukaguzi wa Dirisha Jipya: Fungua URL iliyokopwa katika dirisha jipya la kivinjari. Kitendo hiki ni muhimu kwa kuelewa matokeo ya muamala.

Manipulation ya Vigezo

1. Badilisha Thamani za Vigezo: Jaribu kubadilisha thamani za vigezo kama Mafanikio, Referrer, au Callback. Kwa mfano, kubadilisha kigezo kutoka false hadi true kunaweza kuonyesha jinsi mfumo unavyoshughulikia ingizo hizi.
2. Ondoa Vigezo: Jaribu kuondoa vigezo fulani kabisa ili kuona jinsi mfumo unavyoshughulikia. Mifumo mingine inaweza kuwa na mipango ya akiba au tabia za kawaida wakati vigezo vinavyotarajiwa havipo.

Uharibifu wa Kuki

1. Chunguza Kukis: Tovuti nyingi huhifadhi taarifa muhimu katika kuki. Kagua kuki hizi kwa data yoyote inayohusiana na hali ya malipo au uthibitisho wa mtumiaji.
2. Badilisha Thamani za Kuki: Badilisha thamani zilizohifadhiwa katika kuki na uone jinsi majibu au tabia ya tovuti inavyobadilika.

Hijacking ya Kikao

1. Token za Kikao: Ikiwa token za kikao zinatumika katika mchakato wa malipo, jaribu kukamata na kubadilisha. Hii inaweza kutoa mwanga juu ya udhaifu wa usimamizi wa kikao.

Uharibifu wa Majibu

1. Kukamata Majibu: Tumia zana kukamata na kuchambua majibu kutoka kwa seva. Angalia data yoyote inayoweza kuashiria muamala uliofanikiwa au kufichua hatua zinazofuata katika mchakato wa malipo.
2. Badilisha Majibu: Jaribu kubadilisha majibu kabla ya kusindika na kivinjari au programu ili kuiga hali ya muamala uliofanikiwa.

Try Hard Security Group

{% embed url="https://discord.gg/tryhardsecurity" %}

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

• Check the subscription plans!
• Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
• Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

{% endhint %}