支払いプロセスのバイパス

HackTricks をサポートする他の方法:

HackTricks で企業を宣伝したいまたは HackTricks をPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください！
公式PEASS＆HackTricksスウォッグを入手する
The PEASS Familyを発見し、独占的なNFTsのコレクションを見る
**💬 Discordグループに参加するか、telegramグループに参加するか、Twitter 🐦で @carlospolopmをフォローする。
HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有してください。

Try Hard Security Group

{% embed url="https://discord.gg/tryhardsecurity" %}

支払いバイパステクニック

取引プロセス中に、クライアントとサーバー間で交換されるデータを監視することが重要です。これはすべてのリクエストをインターセプトすることで行うことができます。これらのリクエストの中で、次のような重要な影響を持つパラメータに注意してください:

特に example.com/payment/MD5HASH のパターンに従うURLを含むパラメータに遭遇した場合、これを詳しく調べる必要があります。以下はステップバイステップのアプローチです:

パラメータの値を変更: Success、Referrer、または Callback などのパラメータの値を変更して実験してみてください。たとえば、パラメータを false から true に変更すると、システムがこれらの入力をどのように処理するかがわかることがあります。
パラメータを削除: 特定のパラメータを完全に削除して、システムがどのように反応するかを確認してみてください。期待されるパラメータが欠落している場合、一部のシステムにはフォールバックやデフォルトの動作があるかもしれません。

Cookieの調査: 多くのウェブサイトは重要な情報をCookieに保存しています。これらのCookieを支払い状況やユーザー認証に関連するデータを調査してください。
Cookieの値を変更: Cookieに保存されている値を変更し、ウェブサイトの応答や動作がどのように変化するかを観察してください。

セッショントークン: 支払いプロセスでセッショントークンが使用されている場合、それらをキャプチャして操作してみてください。これにより、セッション管理の脆弱性に関する洞察が得られるかもしれません。

レスポンスのインターセプト: ツールを使用してサーバーからのレスポンスをインターセプトして分析します。成功した取引を示す可能性のあるデータや支払いプロセスの次のステップを示す可能性のあるデータを探してください。
レスポンスの変更: ブラウザやアプリケーションに処理される前に、レスポンスを変更して成功した取引シナリオをシミュレートしてみてください。