결제 우회 프로세스

{% hint style="success" %} AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks 지원하기

구독 계획 확인하기!
**💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 Twitter 🐦 @hacktricks_live를 팔로우하세요.
HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.

{% endhint %}

결제 우회 기술

거래 과정에서 클라이언트와 서버 간에 교환되는 데이터를 모니터링하는 것이 중요합니다. 이는 모든 요청을 가로채는 방식으로 수행할 수 있습니다. 이러한 요청 내에서 중요한 의미를 지닌 매개변수를 주의 깊게 살펴보세요:

URL을 포함하는 매개변수를 발견하면, 특히 example.com/payment/MD5HASH 패턴을 따르는 경우, 더 면밀히 조사해야 합니다. 단계별 접근 방식은 다음과 같습니다:

매개변수 값 변경: Success, Referrer, 또는 _Callback_과 같은 매개변수의 값을 변경해 보세요. 예를 들어, 매개변수를 false에서 true로 변경하면 시스템이 이러한 입력을 처리하는 방식을 드러낼 수 있습니다.
매개변수 제거: 특정 매개변수를 완전히 제거하여 시스템이 어떻게 반응하는지 확인해 보세요. 일부 시스템은 예상되는 매개변수가 없을 때 대체 동작이나 기본 동작을 가질 수 있습니다.

쿠키 검사: 많은 웹사이트가 쿠키에 중요한 정보를 저장합니다. 결제 상태나 사용자 인증과 관련된 데이터를 위해 이러한 쿠키를 검사하세요.
쿠키 값 수정: 쿠키에 저장된 값을 변경하고 웹사이트의 응답이나 동작이 어떻게 변하는지 관찰하세요.

세션 토큰: 결제 과정에서 세션 토큰이 사용되는 경우, 이를 캡처하고 조작해 보세요. 이는 세션 관리 취약점에 대한 통찰력을 제공할 수 있습니다.

응답 가로채기: 도구를 사용하여 서버의 응답을 가로채고 분석하세요. 성공적인 거래를 나타내거나 결제 과정의 다음 단계를 드러낼 수 있는 데이터를 찾아보세요.
응답 수정: 브라우저나 애플리케이션에서 처리되기 전에 응답을 수정하여 성공적인 거래 시나리오를 시뮬레이션해 보세요.

HackTricks 지원하기

구독 계획 확인하기!
**💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 Twitter 🐦 @hacktricks_live를 팔로우하세요.
HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.

{% endhint %}