Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 05:03:35 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/pentesting-web/bypass-payment-process.md

75 lines
5.3 KiB
Markdown
Raw Blame History

# Bypass Payment Process
{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary>Support HackTricks</summary>
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
{% endhint %}
**Try Hard Security Group**
<figure><img src="/.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>
{% embed url="https://discord.gg/tryhardsecurity" %}
***
## Techniques de contournement de paiement
### Interception de requêtes
Lors du processus de transaction, il est crucial de surveiller les données échangées entre le client et le serveur. Cela peut être fait en interceptant toutes les requêtes. Dans ces requêtes, faites attention aux paramètres ayant des implications significatives, tels que :
- **Succès** : Ce paramètre indique souvent l'état de la transaction.
- **Référent** : Il peut pointer vers la source d'où la requête a été émise.
- **Callback** : Cela est généralement utilisé pour rediriger l'utilisateur après qu'une transaction soit terminée.
### Analyse d'URL
Si vous rencontrez un paramètre contenant une URL, en particulier un suivant le modèle _example.com/payment/MD5HASH_, cela nécessite un examen plus approfondi. Voici une approche étape par étape :
1. **Copier l'URL** : Extraire l'URL de la valeur du paramètre.
2. **Inspection dans une nouvelle fenêtre** : Ouvrez l'URL copiée dans une nouvelle fenêtre de navigateur. Cette action est cruciale pour comprendre le résultat de la transaction.
### Manipulation de paramètres
1. **Changer les valeurs des paramètres** : Expérimentez en modifiant les valeurs des paramètres comme _Succès_, _Référent_ ou _Callback_. Par exemple, changer un paramètre de `false` à `true` peut parfois révéler comment le système gère ces entrées.
2. **Supprimer des paramètres** : Essayez de supprimer certains paramètres pour voir comment le système réagit. Certains systèmes peuvent avoir des solutions de repli ou des comportements par défaut lorsque des paramètres attendus sont manquants.
### Altération de cookies
1. **Examiner les cookies** : De nombreux sites web stockent des informations cruciales dans des cookies. Inspectez ces cookies pour toute donnée liée à l'état de paiement ou à l'authentification de l'utilisateur.
2. **Modifier les valeurs des cookies** : Alterez les valeurs stockées dans les cookies et observez comment la réponse ou le comportement du site web change.
### Détournement de session
1. **Jetons de session** : Si des jetons de session sont utilisés dans le processus de paiement, essayez de les capturer et de les manipuler. Cela pourrait donner des aperçus sur les vulnérabilités de gestion de session.
### Altération de réponses
1. **Intercepter les réponses** : Utilisez des outils pour intercepter et analyser les réponses du serveur. Recherchez toute donnée qui pourrait indiquer une transaction réussie ou révéler les prochaines étapes du processus de paiement.
2. **Modifier les réponses** : Essayez de modifier les réponses avant qu'elles ne soient traitées par le navigateur ou l'application pour simuler un scénario de transaction réussie.
**Try Hard Security Group**
<figure><img src="/.gitbook/assets/telegram-cloud-document-1-5159108904864449420.jpg" alt=""><figcaption></figcaption></figure>
{% embed url="https://discord.gg/tryhardsecurity" %}
{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary>Support HackTricks</summary>
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
{% endhint %}
Reference in a new issue View git blame Copy permalink