mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-30 08:30:57 +00:00
5.2 KiB
5.2 KiB
Pomijanie Procesu Płatności
Nauka hakowania AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!
Inne sposoby wsparcia HackTricks:
- Jeśli chcesz zobaczyć swoją firmę reklamowaną w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź PLANY SUBSKRYPCYJNE!
- Zdobądź oficjalne gadżety PEASS & HackTricks
- Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
- Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @carlospolopm.
- Podziel się swoimi sztuczkami hakowania, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów na GitHubie.
Try Hard Security Group
{% embed url="https://discord.gg/tryhardsecurity" %}
Techniki Pomijania Płatności
Przechwytywanie Żądań
Podczas procesu transakcji istotne jest monitorowanie danych wymienianych między klientem a serwerem. Można to zrobić poprzez przechwytywanie wszystkich żądań. W tych żądaniach zwróć uwagę na parametry o istotnym znaczeniu, takie jak:
- Sukces: Ten parametr często wskazuje na status transakcji.
- Referrer: Może wskazywać źródło, z którego pochodzi żądanie.
- Callback: Zazwyczaj używany do przekierowania użytkownika po zakończeniu transakcji.
Analiza URL
Jeśli napotkasz parametr zawierający adres URL, zwłaszcza taki, który podąża za wzorcem example.com/payment/MD5HASH, wymaga to bliższego przyjrzenia się. Oto krok po kroku:
- Skopiuj URL: Wyodrębnij adres URL z wartości parametru.
- Inspekcja w Nowym Oknie: Otwórz skopiowany adres URL w nowym oknie przeglądarki. Ta czynność jest kluczowa dla zrozumienia rezultatu transakcji.
Manipulacja Parametrami
- Zmień Wartości Parametrów: Eksperymentuj, zmieniając wartości parametrów, takich jak Sukces, Referrer lub Callback. Na przykład zmiana parametru z
false
natrue
czasami może ujawnić, w jaki sposób system obsługuje te dane wejściowe. - Usuń Parametry: Spróbuj usunąć pewne parametry całkowicie, aby zobaczyć, jak system reaguje. Niektóre systemy mogą mieć fallbacki lub domyślne zachowania, gdy oczekiwane parametry są brakujące.
Modyfikacja Ciasteczek
- Zbadaj Ciasteczka: Wiele stron internetowych przechowuje istotne informacje w ciasteczkach. Sprawdź te ciasteczka pod kątem danych dotyczących statusu płatności lub uwierzytelnienia użytkownika.
- Zmodyfikuj Wartości Ciasteczek: Zmodyfikuj wartości przechowywane w ciasteczkach i obserwuj, jak zmienia się odpowiedź strony internetowej lub jej zachowanie.
Przechwytywanie Sesji
- Tokeny Sesji: Jeśli tokeny sesji są używane w procesie płatności, spróbuj przechwycić je i nimi manipulować. Może to dostarczyć wglądu w podatności zarządzania sesją.
Modyfikacja Odpowiedzi
- Przechwytywanie Odpowiedzi: Użyj narzędzi do przechwytywania i analizowania odpowiedzi serwera. Szukaj danych, które mogą wskazywać na udaną transakcję lub ujawniać kolejne kroki w procesie płatności.
- Modyfikacja Odpowiedzi: Spróbuj zmodyfikować odpowiedzi przed ich przetworzeniem przez przeglądarkę lub aplikację, aby zasymulować scenariusz udanej transakcji.
Try Hard Security Group
{% embed url="https://discord.gg/tryhardsecurity" %}
Nauka hakowania AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!
Inne sposoby wsparcia HackTricks:
- Jeśli chcesz zobaczyć swoją firmę reklamowaną w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź PLANY SUBSKRYPCYJNE!
- Zdobądź oficjalne gadżety PEASS & HackTricks
- Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
- Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @carlospolopm.
- Podziel się swoimi sztuczkami hakowania, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów na GitHubie.